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内 容 简 介 


本 书 是 面向 高 职高 专 计算 机 网 络 技术 专业 学 生 的 教材 。 
本 书 以 一 个 模拟 网 络 工程 为 主线 ,分 析 网 络 工程 中 的 安全 管理 需求 ,根据 需求 制定 工程 任务 ,按照 
任务 介绍 必 备 的 知识 ,提出 模拟 工程 中 的 解决 方案 ,完成 方案 配置 。 


本 书 


共 分 7 章 ,内 容 包 括 模拟 网 络 工程 环境 和 模拟 网 络 工 程 中 的 项 目 介 绍 及 网 络 安全 基础 ,访问 控 


制 列表 技 术 、 网 络 地址 转换 、VPN 技术 、 防 火 墙 、 局 域 网 安全 、 网 络 管理 技术 。 
本 书 可 以 作为 高 职高 专 计算 机 网 络 技术 及 相关 专业 学 生 的 教材 ,也 可 以 作为 网 络 工程 技术 人 员 和 
本 科 院 校 学 生 的 参考 书 。 
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出 版 说 明 


高 职高 专 教育 是 我 国 高 等 教育 的 重要 组 成 部 分 ,担负 着 为 国家 培养 并 输送 生产 、 建 
设 、 管 理 、. 服 务 第 一 线 高 素质 技术 应 用 型 人 才 的 重任 。 

进入 21 世纪 后 ,高 职高 专 教育 的 改革 和 发 展 呈 现 出 前 所 未 有 的 发 展 势头 ,学 生 规 模 已 
占 我 国 高 等 教育 的 半壁 江山 ,成 为 我 国 高 等 教育 的 一 支 重要 的 生力军 ; 办 学 理念 上 ,“ 以 就 
业 为 导向 ”成 为 高 等 职业 教育 改革 与 发 展 的 主旋律 。 近 两 年 来 ,教育 部 召开 了 三 次 产 学 研 交 
流 会 ,并 启动 四 个 专业 的 “国家 技能 型 紧缺 人 才 培 养 项 目 ”, 同 时 成 立 了 35 所 示范 性 软件 职 
业 技 术 学 院 , 进 行 两 年 制 教学 改革 试点 。 这 些 举措 都 表明 国家 正在 推动 高 职高 专 教育 进行 
深层 次 的 重大 改革 ,向 培养 生产 ,建设 .管理 ,服务 第 一 线 真正 需要 的 应 用 型 人 才 的 方向 
发 展 。 

为 了 顺应 当前 我 国 高 职高 专 教育 的 发 展 形势 ,配合 高 职高 专 院 校 的 教学 改革 和 教材 
建设 ,进一步 提高 我 国 高 职高 专 教育 教材 质量 ,在 教育 部 的 指导 下 ,清华 大 学 出 版 社 组 织 
出 版 了 “21 世纪 高 职高 专 规划 教材 ”。 

为 推动 规划 教材 的 建设 ,清华 大 学 出 版 社 组 织 并 成 立 了 “高 职高 专 教育 教材 编审 委员 
会 ”, 旨 在 对 清华 版 的 全 国 性 高 职高 专 教材 及 教材 选 题 进行 评审 ,并 向 清华 大 学 出 版 社 推 
荐 各 院 校 办 学 特色 鲜明 、 内 容 质量 优秀 的 教材 选 题 。 教 材 选 题 由 个 人 或 各 院 校 推荐 ,经 编 
审 委员 会 认真 评审 ,最 后 由 清华 大 学 出 版 社 出 版 。 编 审 委员 会 的 成 员 皆 来 自 教改 成 效 大 、 
办 学 特色 鲜明 师资 实力 强 的 高 职高 专 院 校 ,普通 高 校 以 及 著名 企业 ,教材 的 编写 者 和 和 审 
订 者 都 是 从 事 高 职高 专 教育 第 一 线 的 骨干 教师 或 专家 。 

编审 委员 会 根据 教育 部 最 新 文件 和 政策 ,规划 教材 体系 ,比如 部 分 专业 的 两 年 制 教材 ; 
“以 就 业 为 导向 ”, 以 “专业 技能 体系 ”为 主 ,突出 人 才 培 养 的 实践 性 、 应 用 性 的 原则 ,重新 组 织 
系列 课程 的 教材 结构 ,整合 课程 体系 ; 按照 教育 部 制定 的 “高 职高 专 教育 基础 课程 教学 基本 
要 求 ”, 教 材 的 基础 理论 以 “必要 、 够 用 ”为 度 ,突出 基础 理论 的 应 用 和 实践 技能 的 培养 。 

本 套 规划 教材 的 编写 原则 如 下 : 

(1) 根据 岗位 群 设置 教材 系列 ,并 成 立 系列 教材 编审 委员 会 ; 

(2) 由 编审 委员 会 规划 教材 .评审 教材 ; 

(3) 重点 课程 进行 立体 化 建设 ,突出 案例 式 教学 体系 ,加 强 实 训 教 材 的 出 版 ,完善 教 
学 服务 体系 ; 

(4) 教材 编写 者 由 具有 丰富 的 教学 经 验 和 多 年 实践 经 历 的 教师 共同 组 成 ,建立 “ 双 师 
型 "编者 体系 。 


计算 机 网 络 安全 与 管理 (第 2 版 ) 


本 套 规 划 教材 涵盖 了 公共 基础 课 ` 计 算 机 、 电 子 信息 、 机 械 、 经 济 管理 以 及 服务 等 大 类 
的 主要 课程 ,包括 专业 基础 课 和 专业 主干 课 。 目 前 已 经 规划 的 教材 系列 名 称 如 下 : 


。 公 共 基础 课 。 机械 类 
公共 基础 课 系列 机 械 基础 系列 
机 械 设 计 与 制造 专业 系列 
本 计算 机 类 数控 技术 系列 
计算 机 专业 基础 系列 。 经 济 管理 类 
计算 机 应 用 系列 
网 络 专业 系列 经 济 管理 基础 系列 
市 场 营销 系列 
软件 专业 系列 
电子 商务 专业 系列 和 
企业 管理 系列 
。 电 子 信息 类 物流 管理 系列 
财政 金融 系列 
电子 信息 基础 系列 国际 商务 系列 
微 电 子 技术 系列 
通信 技术 系列 SA 
电气 .自动 化 .应 用 电子 技术 系列 艺术 设计 系列 


本 套 规划 教材 的 系列 名 称 根据 学 科 基 础 和 岗位 群 方向 设置 ,为 各 高 职高 专 院 校 提供 
“自助 餐 ” 形 式 的 教材 。 各 院 校 在 选择 课程 需要 的 教材 时 ,专业 课程 可 以 根据 岗位 群 选择 
系列 ; 专业 基础 课程 可 以 根据 学 科 方 向 选择 各 类 的 基础 课 系 列 。 例 如 ,数控 技术 方向 的 
专业 课程 可 以 在 “数控 技术 系列 ”选择 ; 数控 技术 专业 需要 的 基础 课程 ,属于 计算 机 类 课 
程 的 可 以 在 “计算 机 基础 教育 系列 "和 “计算 机 应 用 系列 "选择 ,属于 机 械 类 课程 的 可 以 在 
“机 械 基础 系列 ”选择 ,属于 电子 信息 类 课程 的 可 以 在 “电子 信息 基础 系列 "选择 。 依 此 
类 推 。 

为 方便 教师 授课 和 学 生 学 习 , 清 华 大 学 出 版 社 正在 建设 本 套 教材 的 教学 服务 体系 。 
本 套 教材 先期 选择 重点 课程 和 专业 主干 课程 ,进行 立体 化 教材 建设 : 加 强 多 媒体 教学 课 
件 或 电子 教案 .素材 库 ,学习 盘 .学 习 指 导 书 等 形式 的 制作 和 出 版 ,开发 网 络 课程 。 学 校 在 
选用 教材 时 ,可 通过 邮件 或 电话 与 我 们 联系 获取 相关 服务 ,并 通过 与 各 院 校 的 密切 交流 ， 
使 其 日 至 完善 。 

高 职高 专 教育 正 处 于 新 一 轮 改革 时 期 ,从 专业 设置 .课程 体系 建设 到 教材 编写 ,依然 
是 新 课题 。 希 望 各 高 职高 专 院 校 在 教学 实践 中 积极 提出 意见 和 建议 ,并 向 我 们 推荐 优秀 
选 题 。 反 馈 意见 请 发 送 到 E-mail: gzgz@tup. tsinghua. edu. cn。 清 华 大 学 出 版 社 将 对 已 
出 版 的 教材 不 断 地 修订 完善 ,提高 教材 质量 ,完善 教材 服务 体系 ,为 我 国 的 高 职高 专 教育 
出 版 优秀 的 高 质量 的 教材 。 


高 职高 专 教育 教材 编审 委员 会 


第 2 版 前 言 


本 书 以 一 个 模拟 网 络 工程 为 主线 ,分 析 网 络 工程 中 的 安全 需求 与 管理 任务 ; 按照 需 
求 制 定 工 程 任务 ,按照 任务 需要 介绍 必 备 的 知识 ,提出 模拟 工程 中 的 解决 方案 ,完成 方案 
的 配置 。 本 书 内 容 以 工程 需求 为 主 ,同时 还 兼顾 了 知识 体系 的 完整 性 与 系统 性 。 为 了 便 
于 学 生 在 实验 室 中 对 解决 方案 的 配置 .验证 和 测试 , 书 中 给 出 一 个 网 络 安全 与 管理 实 训 工 
程 环境 , 实 训 环境 可 使 用 实际 网 络 设备 实现 ,也 可 使 用 模拟 器 软件 实现 。 第 2 章 至 第 7 章 
的 每 章 后 都 有 实 训 内 容 和 实 训 指导 ,让 学 生根 据 在 模拟 工程 实践 中 学 到 的 知识 技能 完成 
实 训 项 目 ,增强 学 生 的 动手 能 力 与 实践 技能 。 

本 书 在 第 1 版 的 基础 上 进行 了 部 分 修改 ,除了 根据 教学 中 的 反馈 信息 对 内 容 排 列 顺 
序 进行 调整 之 外 ,主要 增加 了 H3C 设备 的 内 容 。 第 1 版 主要 以 Cisco 设备 为 例 ,但 目前 
国内 企业 所 用 的 网 络 设备 大 都 以 国内 厂商 的 设备 为 主 , 而 在 网 络 安全 配置 方面 ,不 同 厂家 
的 设备 配置 方法 差异 较 大 ,所 以 在 第 2 版 中 ,同时 兼顾 了 Cisco 设备 及 H3C 设备 。 书 中 
主要 以 H3C 设备 配置 为 例 进 行 介绍 ,而 后 给 出 Cisco 设备 的 配置 方案 。 

本 书 共 分 7 章 。 第 1 章 介绍 模拟 网 络 工程 环境 和 模拟 网 络 工程 中 的 项 目 介绍 及 网 络 
安全 基础 ; 第 2 章 介绍 访问 控制 列表 技术 ,根据 工程 任务 安全 需求 分 析 ,解决 网 络 边界 访 
问 控制 配置 问题 ; 第 3 章 介绍 网 络 地 址 转换 ,根据 工程 任务 安全 需求 分 析 ,解决 网 络 中 使 
用 路 由 器 进行 内 外 网 地 址 转换 的 配置 问题 ; 第 4 章 介 绍 VPN 技术 ,根据 工程 任务 安全 需 
求 分 析 ,解决 利用 Internet 线路 进行 安全 通信 配置 问题 ; 第 5 章 介 绍 防火 墙 ,根据 工程 任 
务 安 全 需求 分 析 ,解决 网 络 边界 安全 中 防火 墙 基本 配置 问题 ; 第 6 章 介 绍 局 域 网 安全 , 根 
据 工程 任务 安全 需求 分 析 ,解决 局 域 网 中 安全 配置 问题 ; 第 7 章 介绍 网 络 管理 技术 ,包括 
基本 网 络 管理 知识 和 常用 的 网 络 管理 工具 。 附 录 中 介绍 了 如 何 利 用 网 络 模拟 器 GNS3 搭 
建 模拟 实 训 环境 iMC 安装 指导 ,并 配 有 各 章 习题 参考 答案 。 

本 书 由 田 庚 林 主 持 编写 ,具体 内 容 由 田 华 , 张 少 芳 编写 完成 。 其 中 田 庚 林 主 要 参与 了 
内 容 的 组 织 策划 和 统 稿 审 订 工 作 , 第 6 章 、 第 7 章 由 田 华 编写 ,其 余部 分 由 张 少 芳 编写 。 

由 于 计算 机 网 络 技术 发 展 更 新 较 快 ,编者 水 平 有 限 , 书 中 的 不 足 之 处 望 广大 读者 批评 
指正 。 作 者 E-mail: tiangl163@163. com。 


编 者 
2013 年 6 月 


第 工 版 前 言 


本 书 是 一 本 面向 高 等 职业 教育 的 教材 ,是 计算 机 网 络 技术 专业 系列 教材 之 一 。 

在 计算 机 网 络 技术 专业 建设 中 ,从 网 络 工程 .网 络 管理 岗位 需求 出 发 ,我 们 将 专业 技 
能 重点 放 在 网 络 技术 和 网 站 技术 两 个 方面 。 该 专业 系列 教材 中 ,将 网 络 技 术 分 为 (计算 机 网 
络 技术 基础 )《 计 算 机 网 络 集成 技术 》《 计 算 机 网 络 安全 与 管理 》 和 《网 络 操 作 系 统 》4 门 课 
程 ; 网 站 技术 主要 包括 《网 页 制作 工具 》《 网 络 数据 库 》《 动 态 网 站 技术 》 和 《. NET 网 站 技 
术 》4 门 课程 。 本 书 主要 介绍 网 络 安全 技术 和 基本 的 网 络 管理 知识 与 基本 管理 技能 。 

本 书 以 一 个 模拟 的 网 络 工程 为 主线 ,分 析 网 络 工程 中 的 安全 需求 与 管理 任务 ; 按照 
需求 制定 工程 任务 ,按照 任务 需要 介绍 必 备 的 知识 ,提出 模拟 工程 中 的 解决 方案 ,完成 方 
案 配 置 。 本 书 内 容 既 以 工程 需求 为 主 ,同时 还 照顾 了 知识 体系 的 完整 性 与 系统 性 。 为 了 
便于 学 生 在 实验 室 中 对 解决 方案 的 配置 验证 和 测试 , 书 中 给 出 了 一 个 网 络 安 全 与 管理 实 
训 工 程 环境 , 实 训 环境 可 使 用 实际 网 络 设备 实现 ,也 可 使 用 模拟 器 软件 实现 。 第 2 章 至 第 
7 章 的 每 章 章 后 都 有 实 训 内 容 和 实 训 指导 ,让 学 生根 据 在 模拟 工程 实践 中 学 到 的 知识 技 
能 完成 实 训 项 目 ,提高 学 生 的 动手 能 力 与 实践 技能 。 

本 书 共 分 7 章 。 第 1 章 介绍 模拟 网 络 工 程 环境 和 模拟 网 络 工程 中 的 网 络 安全 与 管理 
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项 目 介绍 及 网 络 安全 基础 


随 着 网 络 技术 的 不 断 发 展 和 普及 ,网 络 安全 技术 也 越 来 越 受到 人 们 的 关注 。 人 们 都 
知道 如 果 一 台 PC 仅仅 安装 了 操作 系统 ,而 没有 安装 任何 杀毒 软件 防火墙 (单机 软件 ) 等 
安全 防护 软件 ,那么 可 能 在 很 短 的 时 间 内 系统 就 会 因为 受到 病毒 等 的 攻击 而 瘫痪 ,而 网 络 
作为 一 个 开放 的 信息 系统 同样 会 存在 诸多 的 安全 隐患 。 在 实际 中 ,任何 一 个 计算 机 网 络 
系统 ,特别 是 较 大 型 的 企业 网 络 系统 ,为 保证 其 安全 可 靠 地 运行 ,必须 建立 相应 的 网 络 安 
全 与 管理 方案 ,以 减少 各 种 潜在 网 络 安全 风险 和 网 络 性 能 瓶颈 对 信息 系统 正常 运行 的 影 
响 。 本 书 以 一 个 典型 的 跨 地 区 公司 网 络 系统 为 例 , 按 照 实际 网 络 工程 项 目 过 程 , 先 分 析 其 
中 的 网 络 安全 与 管理 问题 ,然后 介绍 解决 这 些 问 题 所 需 的 知识 和 技术 ,最 后 给 出 这 些 问 题 
的 相应 的 解决 方案 。 


1.1 网 络 安全 与 管理 项 目 介 绍 


1.1.1 模拟 公司 网 络 环境 

1. 企业 网 络 应 用 情况 

某 大 型 新 兴 产 业 公司 为 提高 生产 效率 , 拟 新 建 联通 各 地 分 公司 的 计算 机 网 络 。 该 公 
司 的 总 公司 及 其 直属 3 个 分 支 机 构 在 A 市 ,并 在 了 B 市 和 C 市 分 别 设 有 一 个 分 公司 和 两 个 
分 支 机 构 。 总 公司 和 分 公司 主要 负责 产品 的 研发 和 生产 , 设 有 管理 部 门 、 研 发 部 门 、 市 场 
部 门 、 售 后 服务 部 门 和 生产 部 门 。 各 分 支 机 构 主 要 负责 产品 销售 和 售 前 、 售 后 服务 , 设 有 
市 场 部 门 、 售 后 服务 部 门 和 管理 部 门 。 

公司 所 建 网 络 将 主要 承载 公司 内 部 OA .邮件 .FTP、 远 程 教育 等 系统 和 面向 公众 提 
供 服务 的 电子 商务 网 站 系统 。 受 业务 发 展 、 系 统 性 能 等 诸多 方面 因素 影响 ,以 上 网 络 应 用 
系统 设计 在 总 公司 、 分 公司 分 别 设 有 网 络 应 用 及 数据 库 服 务 器 ,而 在 分 支 机 构 只 设 网 络 
终端 。 


2. 企业 网 络 拓扑 结构 

全 公司 的 网 络 拓扑 结构 如 图 1-1 所 示 。 总 公司 与 分 公司 利用 电信 专线 互联 ,而 为 
节约 线路 成 本 ,总 /分 公司 与 其 下 属 分 支 机 构 通 过 宽带 线路 接 入 本 地 Internet 实现 
互联 。 


/@ 计算 机 网 络 安全 与 管理 (第 2 版 ) 


/ | 


7 、 
1 ‘ 
1 1 
i 构 A-1 | 
1 构 A-21 
1 1 
1 
1 构 A3 1 
| , 
和 也 
人 人 
A \ 
‘ 分 公司 1 LAN 1 1 
! ! ! 
. 1 1 
人 1 1 
1 分 支 机 构 B-1 分 支 机 构 B-2 1 1 分 支 机 构 C-1 分 支 机 构 C-2 1 
1 | 
1 1 1 
1 1 
1 1 
1 1 
‘ 1 
SN 人 记过 7 gh a 7 


图 1-1 模拟 公司 网 络 拓扑 结构 示意 图 


总 公司 局 域 网 的 网 络 拓扑 结构 按照 网 络 应 用 需求 分 为 核心 .汇聚 、. 接 和 人 3 层 ,图 1-2 
为 总 公司 局 域 网 网 络 拓扑 结构 示意 图 。 为 了 保证 系统 安全 可 靠 性 ,在 各 交换 机 上 使 用 了 
双 抑 余 线路 设计 。 


号 办 公 


图 1-2 总 公司 局 域 网 网 络 拓扑 结构 图 
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分 公司 在 局 域 网 结构 、 链 路 元 余 等 方面 与 总 公司 类 似 。 但 分 支 机 构 B-1、C-1 网 络 规 
模 较 大 ,而 分 支 机 构 B-2、C-2 网 络 规模 较 小 ,分 支 机 构 的 网 络 拓扑 结构 分 别 如 图 1-3 
所 示 。 


(a) 分 支 机 构 B-1、C-1 网 络 拓扑 (b) 分 支 机构 B-2 、C-2 网 络 拓扑 
1-3 分 支 机 构 网 络 拓扑 结构 图 


1.1.2 模拟 公司 网 络 安全 及 管理 需求 

1. 网 络 安全 需求 

目前 计算 机 网 络 面临 着 多 方面 的 安全 威胁 ,例如 物理 安全 威胁 、 网 络 通信 威胁 、 网 络 
服务 威胁 、 网 络 管理 威胁 等 ,模拟 公司 网 络 也 不 能 例外 。 从 模拟 公司 网 络 环境 和 业务 需求 
分 析 可 以 发 现 ,要 保证 该 网 络 安 全 运行 ,需要 解决 以 下 网 络 安全 问题 。 

(1) 由 于 连接 到 Internet, 所 以 必须 解决 来 自 Internet 的 网 络 人 侵 和 攻击 问题 。 

(2) 模拟 公司 与 分 支 机 构 间 使 用 Internet 线路 通信 ,必须 解决 通信 数据 安全 问题 。 

(3) 由 于 公司 租用 的 IP 地 址 有 限 , 随 着 企业 网 络 规模 发 展 ,必须 解决 公司 网 络 中 IP 
地 址 资源 不 足 的 问题 。 

(4) 模拟 公司 网 络 不 是 单纯 的 生产 网 络 , 办 公 局 域 网 的 接 和 人 使 得 网 络 管理 人 员 必 须 
面 对 局 域 网 中 各 种 潜在 安全 威胁 ,如 病毒 问题 非 授权 访问 网 络 资源 问题 , 非 授权 变更 网 
络 结构 等 。 


2. 网 络 管理 需求 

要 保证 模拟 公司 网 络 安全 、 可 靠 地 运行 ,必须 对 网 络 进行 管理 和 维护 。 在 网 络 管理 过 
程 中 ,需要 解决 以 下 问题 。 

(1) 根据 网 络 需求 变化 ,使 用 工具 对 网 络 进行 配置 .调整 。 

(2) 当 网 络 发 生 故 障 时 ,能 够 发 现 、 跟 踪 故 障 现象 ,记录 故障 状态 信息 ,分 析 故 障 原 
因 , 解 决 网 络 故障 。 

(3) 监控 ,记录 网 络 性 能 变化 ,根据 需求 适当 调整 网 络 , 以 提高 网 络 性 能 。 

(4) 监控 ,记录 网 络 受 到 安全 威胁 的 情况 ,检查 网 络 可 能 存在 的 安全 漏洞 或 隐患 ,并 
通过 访问 控制 等 手段 对 网 络 的 薄弱 环节 进行 改善 。 


人、 
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1.1.3 网 络 安全 与 管理 实验 环境 

本 书 将 根据 以 上 网 络 安全 及 管理 方案 基本 设计 思路 ,逐个 解决 模拟 公司 网 络 中 的 安 
全 及 管理 方面 的 问题 ,介绍 相关 知识 ,提出 解决 方案 ,完成 相应 系统 配置 。 另 外 ,在 每 一 章 
后 面 都 给 出 了 相关 知识 的 实验 ,下 面 对 实验 环境 进行 简单 的 介绍 。 

1. 物理 实验 环境 

物理 实验 环境 中 共有 8 个 学 习 岛 ,每 一 个 学 习 岛 由 1 台 机 柜 和 5 台 计 算 机 组 成 。 实 
验 环境 的 物理 规划 如 图 1-4 所 示 。 
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1-4 实验 环境 物理 规划 图 


为 满足 实验 的 需要 ,每 台 机 柜 中 包含 的 设备 如 下 : 

(1) 路 由 器 4 台 ; 

(2) 二 层 交 换 机 2 台 ; 

(3) 三 层 交 换 机 2 台 ; 

(4) 防火 墙 1 台 。 

由 于 在 本 书 中 涉及 H3C 和 Cisco 两 种 设备 的 配置 ,因此 读者 可 以 根据 具体 情况 配备 
H3C 设备 或 Cisco 设备 ,Cisco 设备 也 可 以 通过 Packet Tracer 或 GNS3 等 模拟 器 软件 来 
代替 。 在 本 书 中 H3C 设备 和 Cisco 设备 配置 使 用 相同 的 网 络 实验 环境 ,但 两 个 厂商 对 接 
口 的 命名 方式 存在 区 别 ,在 书 中 所 有 的 网 络 拓扑 图 中 给 出 的 接口 均 以 H3C 设备 的 命名 方 
式 进行 命名 ,Cisco 设备 接口 与 H3C 设备 接口 的 对 应 表 如 表 1-1 所 示 。 


表 1-1 Cisco 与 H3C 接口 名 称 对 应 表 


Cisco 设备 接口 H3C 设备 接口 


FastEthernet0/0 Ethernet0/0 
FastEthernet0/1 Ethernet0/1 
Serial0/0 Seriall/0 


Serial0/1 Serial2/0 
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2. 逻辑 实验 环境 

(1) 逻辑 网 络 拓扑 与 IP 地 址 规划 

为 使 各 个 学 习 岛 可 以 访问 外 部 网 络 , 在 实验 网 络 的 出 口 处 使 用 一 台 路 由 器 和 一 台 三 
层 交 换 机 来 进行 校园 网 与 实验 网 络 以 及 实验 网 络 内 各 个 学 习 岛 网 络 之 间 的 连接 。 实 验 网 
络 具体 的 逻辑 拓扑 与 IP 地 址 规划 如 图 1-5 所 示 。 


Fa0/1:10.0.1.1/24 
10.0.1.2/24 


学 习 岛 1 
10.1.0.0/16 


Fa0/1:10.0.254.1/30 
Fa0/24:10.0.254.2/30 
Fa0/0:202.20.7.127.98/27 


学 习 态 2 
10.2.0.0/16 


Fa0/2:10.0.2.1/24 
10.0.2.2/24 


学 习 态 和 
10.8.0.0/16 


Fa0/8:10.0.8.1/24 
10.0.8.2/24 


1-5 实验 网 络 的 逻辑 拓扑 与 IP 地 址 规划 图 


从 图 1-5 可 以 看 出 ,学 习 岛 1 一 学 习 岛 8 的 WAN 接口 分 别 连接 到 了 出 口 三 层 交 换 机 
的 Fa0/1 一 Fa0/8 接口 上 ,出口 三 层 交 换 机 向 上 连接 到 出 口 路 由 器 上 ,出 口 路 由 器 向 上 连 
接 到 校园 网 。 

在 IP 地址 的 规划 上 ,具体 的 规划 原则 和 IP 地 址 分 配 情况 如 下 : 

@ 三 层 交换 机 与 各 个 学 习 岛 之 间 链 路 分 配 的 IP 网 段 为 10. 0. x.0/24, 其 中 x 为 学 习 
岛 的 编号 。 当 学 习 岛 上 的 实验 网 络 拓扑 为 计算 机 通过 二 层 网 络 设备 连接 到 WAN 接口 上 
时 ,为 计算 机 分 配 10. 0. x. 0/24 网 段 的 IP 地 址 ,网 关 为 10. 0. x. 1。 

@ 为 每 一 个 学 习 岛 预 留 的 IP 网 段 为 10. x. 0. 0/16。 当 学 习 岛 上 的 实验 网 络 拓扑 为 
通过 三 层 网 络 设备 连接 到 WAN 接口 上 时 ,实验 网 络 内 可 以 使 用 网 段 10. x. 0. 0/16 ,并 可 
以 根据 实验 的 需求 将 10. x. 0. 0/16 划分 成 若干 个 子 网 。 

为 实现 10. x. 0. 0/16 到 达 其 他 网 段 的 网 络 联通 性 ,在 出 口 三 层 交 换 机 上 为 每 一 个 学 
习 岛 的 预 留 网 段 均 配置 了 一 条 静态 路 由 ,为 学 习 岛 1 配置 的 静态 路 由 如 下 : 


Switch(config) # ip route 10.1.0.0 255.255.0.0 10.0.1.2 


从 上 面 的 配置 命令 可 以 看 出 ,指定 的 下 一 跳 地 址 为 10. 0. x. 2, 因 此 学 习 岛 上 与 WAN 
接口 ( 即 与 出 口 三 层 交 换 机 ) 相 连 的 三 层 网 络 设备 接口 IP 地 址 一 定 要 配置 为 10. 0. x. 2。 
另外 需要 注意 的 是 ,在 出 口 三 层 交换 机 上 只 能 使 用 静态 路 由 来 实现 各 个 学 习 岛 的 联通 性 ， 
而 不 能 使 用 动态 路 由 。 如 果 使 用 了 动态 路 由 协议 .例如 RIPv2, 则 在 学 习 岛 上 的 实验 环境 
中 也 存在 RIPv2 的 情况 下 ,任何 一 个 学 习 岛 都 会 学 习 到 其 他 学 习 岛 内 部 的 实验 环境 路 
由 ,从 而 会 造成 学 生 实验 的 混乱 。 

在 出 口 三 层 交 换 机 上 ,除了 为 每 一 个 学 习 岛 配置 了 一 条 静态 路 由 外 ,还 配置 了 一 条 指 
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向 出 口 路 由 器 的 默认 路 由 。 在 出 口 路 由 器 上 共 配 置 了 两 条 路 由 ,一 条 为 指向 出 口 三 层 交 
换 机 目的 网 络 为 10. 0. 0. 0/8 的 静态 路 由 ; 另 一 条 为 指向 校园 网 的 默认 路 由 。 

(2) 实验 网 络 的 安全 策略 

@ 地 址 转换 策略 。 通 过 配置 静态 和 默认 路 由 ,实现 了 各 个 学 习 岛 之 间 的 联通 性 ,但 
是 由 于 使 用 私有 地 址 段 10. 0. 0. 0/8 的 关系 ,各 个 学 习 岛 依然 无 法 访问 外 部 网 络 。 如 果 要 
实现 对 外 部 网 络 的 访问 ,就 必须 在 出 口 路 由 器 上 配置 网 络 地 址 转换 。 由 于 校园 网 只 给 网 
络 实验 室 分 配 了 一 个 合法 IP 地 址 202. 207. 127. 98 ,并 且 该 地 址 已 经 被 分 配给 了 出 口 路 
由 器 连接 校园 网 的 接口 Fao/0, 因 此 需要 配置 基于 接口 的 地 址 转换 , 即 Easy IP。 具 体 的 
配置 命令 如 下 : 


Router(config) # ip access-list standard sacl-pat 

Router(Cconfig-std-nacl) # permit 10.0.0.0 0.0.0.255 

Router(config-std-nacl) # exit 

Router(config) # ip nat inside source list sacl-pat interface FastEthernet0/0 overload 
Router(config) # interface FastEthernet 0/1 

Router(Cconfig-if) # ip nat inside 

Router(config-if) # exit 

Router(config) # interface FastEthernet 0/0 

Router( config-if) # ip nat outside 


配置 完成 后 ,各 个 学 习 岛 即 可 通过 唯一 的 内 部 全 局 地 址 202. 207. 127. 98 访问 外 部 
网 络 。 

@ 访问 控制 策略 。 对 于 访问 外 部 网 络 的 需求 ,一 方面 学 生 需 要 访问 校园 网 内 和 
Internet 上 的 一 些 服 务 器 ,例如 访问 教务 处 的 网 站 进行 选课 和 成 绩 查询 ,访问 人 事 考试 中 
心 的 网 络 进 行 网 络 管理 员 认 证 的 报名 和 成 绩 查 询 ,访问 百度 进行 实验 联通 性 验证 等 ; 另 
一 方面 又 需要 防止 学 生 在 实验 室 进行 上 网 聊天 、 打 游戏 或 看 电影 等 与 学 习 无 关 的 事情 。 
这 就 需要 在 出 口 路 由 器 上 进行 访问 控制 列表 的 配置 来 实现 对 网 络 的 访问 控制 。 具 体 的 配 
置 命令 如 下 : 


Router(config) # ip access-list extended in2out 
Router(config-ext-nacl) # permit ip any 202.207.120.0 0.0.7.255 
// 人 允许 访问 校园 网 

Router(config-ext-nacl) # permit ip any host 202.99.160.68 
// 人 允许 访问 联通 的 DNS 服务 器 

Router(config-extrnacl) # permit ip any host 121.28.90.107 
Router(config-ext-nacl) # permit ip any host 219.148.28.212 
// 允 许 访问 河北 省 人 事 考 试 中 心 网 站 
Router(config-extrnacl) # permit ip any host 61.135.169.105 
Router(config-extrnacl) # permit ip any host 61.135.169.125 
// 人 允许 访问 百度 首页 

Router(config-extrnacl) # deny ip any any 
Router(config-ext-nacl) # exit 

Router(config) # interface FastEthernet 0/1 
Router(config-if) # ip access-group in2out in 


上 面 给 出 的 访问 控制 列表 仅 供 参考 ,可 以 根据 具体 的 访问 需要 随时 进行 调整 。 
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1.2 网 络 安全 的 概念 


网 络 安全 从 本 质 上 讲 就 是 网 络 上 的 信息 安全 ,是 指 网 络 系统 的 硬件 .软件 以 及 系统 中 
的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 的 因素 而 遭 到 破坏 .更改 , 泄 露 ,系统 连续 .可靠 、 正 
常 地 运行 ,网 络 服务 不 中 断 。 从 广义 上 来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 完整 性 .可 用 
性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 网 络 安 全 是 一 门 涉 及 
计算 机 科学 .网络 技术 .通信 技术 、 密 码 技术 、 信 息 安 全 技术 应 用 数学 ,数论 .信息 论 等 多 
种 学 科 的 综合 性 学 科 。 

网 络 安全 涉及 的 内 容 既 有 技术 方面 的 问题 ,也 有 管理 方面 的 问题 ,两 方面 互相 补充 、 
缺 一 不 可 。 技 术 方 面 主要 侧重 于 如 何 防范 外 部 非法 攻击 ; 管理 方面 则 侧重 于 内 部 人 为 因 
素 的 管理 。 如 何 更 有 效 地 保护 重要 的 信息 数据 、 提 高 计算 机 网 络 系统 的 安全 性 已 经 成 为 
所 有 计算 机 网 络 应 用 必须 考虑 和 解决 的 一 个 重要 问题 。 


1.3 常见 网 络 攻击 方式 


1.3.1 勘测 攻击 

勘测 攻击 是 一 种 对 网 络 进行 扫描 或 窃听 ,从 而 获得 网 络 拓 扑 、 网 络 中 主机 或 网 络 设备 
运行 应 用 软件 情况 的 攻击 方式 ,往往 是 恶意 用 户 对 网 络 实施 攻击 的 前 奏 。 勘 测 攻击 的 两 
种 常见 类 型 是 扫描 攻击 和 窃听 攻击 。 


1. 扫描 攻击 

常见 的 扫描 攻击 可 以 分 为 IP 地 址 扫描 和 端口 扫描 。 

IP 地 址 扫描 是 指 通 过 ping 网 络 的 直接 广播 地 址 或 者 ping 网 络 中 的 每 个 IP 地址 ,以 
及 使 用 IP 地 址 扫描 工具 (例如 ,IPScanner .深度 活跃 IP 扫描 器 等 ) 对 特定 网 段 进行 IP 地 
址 扫描 ,从 而 发 现 网 络 中 存活 的 IP 地 址 。 

端口 扫描 是 指使 用 端口 扫描 工具 (例如 ,Superscan、Fluxay 等 ) 通 过 测试 是 否 可 以 与 
网 络 中 的 主机 建立 各 类 服务 连接 ,来 探测 目标 主机 的 哪些 端口 处 于 激活 状态 、 主 机 提供 了 
哪些 服务 ,提供 的 服务 中 是 否 含有 某 些 缺 陷 等 。 


2. 窃听 攻击 

窃听 攻击 是 指 恶意 用 户 通过 各 类 嗅 探 ,监听 软件 (例如 , Wireshark .QQ Sniffer 等 ) 从 
网 络 中 获取 用 户 的 通信 信息 ,从 而 获知 用 户 的 账号 、 密 码 以 及 其 他 机 密 信息 等 。 由 于 窃听 
攻击 一 般 需要 在 本 地 网 络 中 实施 ,因此 恶意 用 户 往往 会 先 攻陷 内 部 网 络 的 一 台 主 机 ,然后 
在 这 人 台 主 机 上 运行 嗅 探 ,监听 软件 ,从 而 达到 窃听 攻击 的 目的 。 
1.3.2 访问 攻击 

常见 的 访问 攻击 类 型 包括 未 授权 访问 攻击 .数据 操纵 攻击 以 及 会 话 攻击 等 。 


1. 未 授权 访问 攻击 
未 授权 访问 攻击 是 指 通过 口令 暴力 破解 .社会 工程 学 窃取 口令 等 试图 获得 访问 网 络 


办 


/局 
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权利 的 攻击 方式 。 


2. 数据 操纵 攻击 

数据 操纵 攻击 是 指 对 网 络 服务 提供 的 数据 内 容 进 行 修改 从 而 达到 攻击 目的 ,例如 , 改 
变 网 页 内 容 , 在 其 中 嵌入 非法 插件 ,Java 小 程序 等 。 

3. 会 话 攻击 

会 话 攻击 是 指 在 网 络 的 会 话 层 实 施 的 攻击 ,包括 会 话 欺 骗 攻 击 ,会 话 重 放 攻 击 和 会 话 
劫持 攻击 等 。 

会 话 欺骗 攻 击 是 指 通信 会 话 中 假冒 其 他 IP 地 址 的 攻击 行为 。 据 统计 ,大 约 65% 的 
会 话 欺 骗 攻击 会 使 用 bogon 地 址 ( 即 未 被 分 配 的 地 址 ) ,包括 保留 地 址 ,私有 地 址 等 ; 另外 
恶意 用 户 常 常 假冒 内 网 合法 主机 发 动 会 话 欺骗 攻击 。 

会 话 重 放 攻 击 是 指 攻击 者 发 送 一 个 目的 主机 已 接收 过 的 包 , 来 达到 欺骗 系统 的 目的 ， 
主要 用 于 身份 认证 过 程 。 攻 击 者 利用 网 络 监听 或 者 其 他 方式 盗 取 认证 凭据 ,之 后 再 把 它 
重新 发 给 认证 服务 器 ,如 图 1-6 所 示 。 为 了 抵御 会 话 重 放 攻 击 , 现 在 的 身份 认证 一 般 采 用 
“挑战 应 答 ”(Challenge/Response) 方 式 , 例 如 PPP 中 的 CHAP 认证 ,IEEE 802. 1x 认 
证 等 。 

A 
Internet 


身份 认证 PC 
服务 器 
攻击 者 
a 
Internet 
本 写 
身份 认证 稀 份 认证 报 文 PC 
服务 器 
攻击 者 


1-6 会 话 重 放 攻 击 


会 话 支持 攻击 是 指 在 一 次 正常 的 会 话 过 程 当 中 ,攻击 者 作为 第 三 方 参与 到 其 中 , 它 可 
以 在 正常 数据 包 中 插入 恶意 数据 ,也 可 以 在 双方 的 会 话 当 中 进行 监听 ,其 至 可 以 是 代替 某 
一 方 主机 接管 会 话 。 会 话 动 持 攻 击 按照 攻击 类 型 可 以 分 为 中 间 人 攻击 (如 图 1-7 所 示 ) 和 
注射 式 攻击 两 种 ,而 按照 攻击 方式 可 以 分 为 主动 劫持 和 被 动 劫持 两 种 。 在 被 动 劫持 中 攻 
击 者 是 在 后 台 监视 双方 会 话 的 数据 流 并 从 中 获得 敏感 数据 ; 而 主动 劫持 则 是 将 会 话 当 中 
的 某 一 台 主 机 踢 下 线 , 然 后 由 攻击 者 取代 并 接管 会 话 。 
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攻击 者 
1-7 会 话 动 持 攻 击 


1.3.3 拒绝 服务 攻击 

拒绝 服务 攻击 (Denial of Service,DoS) 是 通过 向 网 络 中 的 网 络 设备 .计算 机 等 发 送 大 
量 消耗 占用 其 资源 的 流量 ,使 被 攻击 网 络 或 主机 无 法 及 时 接收 并 处 理 外 界 请 求 ,从 而 导 
致 无 法 提供 正常 网 络 服务 的 攻击 方式 。DoS 攻击 的 具体 表现 方式 有 以 下 3 种 : 制造 大 量 
的 无 用 数据 来 占用 网 络 带宽 ,造成 通 往 被 攻击 主机 的 网 络 拥塞 ,从 而 使 被 攻击 主机 无 法 正 
常 和 外 界 通信 ; 利用 被 攻击 主机 提供 的 服务 或 传输 协议 上 处 理 重 复 连接 的 缺陷 ,高 频率 
地 发 出 攻击 性 的 重复 服务 请 求 , 使 被 攻击 主机 无 法 及 时 处 理 其 他 正常 的 请 求 ,例如 SYN 
洪水 (SYN Flood) 攻 击 ; 利用 被 攻击 主机 所 提供 服务 程序 或 传输 协议 的 本 身 实现 缺陷 ， 
反复 发 送 畸形 的 攻击 数据 引发 系统 错误 地 分 配 大 量 系统 资源 ,使 主机 处 于 挂 起 状态 甚至 
死机 ,例如 死亡 之 ping(Ping of Death) 攻 击 和 泪 滴 (Tear Drop) 攻 击 等 。 下 面 对 典 型 的 几 
种 DoS 攻击 进行 简要 介绍 。 


1. SYN 洪水 攻击 

SYN 洪水 (SYN Flood) 攻 击 是 一 种 利用 TCP 协议 的 安全 漏洞 进行 的 DoS 攻击 。 我 
们 知道 TCP 协议 在 建立 连接 时 有 一 个 3 次 握手 的 过 程 。 第 一 次 握手 是 客户 端 发 送 SYN 
请 求 数据 报 文 给 服务 器 端 ; 第 二 次 握手 是 服务 器 端 在 接收 到 客户 端的 SYN 请 求 后 将 分 
配 一 定 的 资源 用 来 准备 建立 连接 ,并 同时 返回 一 个 SYN-ACK 数据 报 文 ; 第 3 次 握手 是 
客户 端 接收 到 服务 器 端 返回 的 SYN-ACK 数据 报 文 后 ,向 服务 器 端 发 送 一 个 ACK 报 文 ， 
建立 TCP 连接 。SYN 洪水 攻击 正 是 利用 了 TCP 3 次 握手 过 程 中 存在 的 漏洞 ,一般 攻击 
者 会 使 用 伪造 的 源 IP 地 址 向 被 攻击 服务 器 发 送 大 量 的 SYN 请 求 报 文 ,被 攻击 服务 器 在 
进行 第 二 次 握手 响应 后 会 等 待 客户 端的 ACK 报 文 来 建立 TCP 连接 。 但 是 由 于 源 IP 地 
址 欺骗 的 原因 被 攻击 服务 器 实际 上 不 会 接收 到 任何 的 ACK 响应 报 文 ,从 而 使 被 攻击 服 
务 器 的 大 量 资源 被 这 种 TCP 半 开 连接 占用 ,导致 被 攻击 服务 器 无 法 对 正常 的 TCP 连接 
请 求 进行 响应 。 

SYN 洪水 攻击 是 一 种 典型 以 小 搏 大 的 攻击 ,即使 用 自己 的 少量 资源 来 占用 对 方 大 量 
的 资源 。 并 且 由 于 伪造 源 IP 地 址 的 原因 ,使 SYN 洪水 攻击 很 难 找到 攻击 者 。 


2. 死亡 之 ping 攻击 
死亡 之 ping(Ping of Death) 攻 击 是 利用 ICMP 协议 的 漏洞 进行 的 DoS 攻击 。ICMP 
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协议 其 中 一 个 重要 的 功能 就 是 通过 “请 求 /应 答 ” 报 文 对 来 测试 目标 主机 是 否 存活 或 者 与 
目标 主机 之 间 的 联通 性 。 在 TCP/IP 协议 簇 的 RFC 文档 中 对 ICMP 数据 报 文 的 大 小 有 
着 严格 规定 ,一 般 操 作 系统 的 TCP/IP 协议 栈 对 于 ICMP 数据 报 文 的 大 小 都 规定 为 
64KB, 并 且 在 对 ICMP 数据 报 文 的 标题 头 进行 读 取 之 后 ,根据 该 标题 头 里 包含 的 信息 来 
为 有 效 载荷 生成 缓冲 区 。 死 亡 之 ping 攻击 通过 产生 畸形 的 ICMP echo-request 数据 报 
文 ,声称 自己 的 尺寸 超过 ICMP 上 限 ,也 就 是 加 载 的 尺寸 超过 64KB 上 限 ,从 而 使 未 采取 
保护 措施 的 系统 出 现 内 存 分 配 错误 ,导致 TCP/IP 协议 栈 崩 溃 , 并 最 终 导 致 接收 方 死机 。 
作为 一 种 比较 老 的 攻击 方式 ,目前 所 有 标准 的 TCP/IP 实现 均 可 以 处 理 超大 尺寸 的 
ICMP echo-request 数据 报 文 , 并 且 大 多 数 的 防火 墙 都 可 以 自动 过 滤 死亡 之 ping 攻击 。 


3. Smurf 攻击 

Smurf 攻击 是 一 种 基于 ICMP echo-reply 数据 报 文 的 洪水 攻击 ,属于 反射 拒绝 服务 
攻击 。 在 Smurf 攻击 中 ,攻击 者 会 伪造 ICMP 的 echo-request 数据 报 文 ,其 中 报 文 的 源 
IP 地 址 为 被 攻击 主机 的 IP 地 址 ,而 目的 IP 地 址 为 某 一 个 网 络 的 直接 广播 地 址 或 者 本 网 
段 的 受 限 广播 地 址 。 在 攻击 者 发 送出 伪造 的 ICMP echo-request 数据 报 文 后 ,目的 网 段 
中 的 所 有 主机 都 会 收 到 该 报 文 , 并 向 被 攻击 主机 发 送 ICMP echo-reply 数据 报 文 ,从 而 导 
致 被 攻击 主机 瞬间 被 大 量 的 ICMP echo-reply 数据 报 文 淹没 。Smurf 攻击 属于 典型 的 
“ 借 刀 杀人 "攻击 方式 ,而 ICMP echo-request 数据 报 文中 目的 网 络 的 所 有 主机 均 充 当 了 
攻击 者 的 角色 ,因此 Smurf 也 是 一 种 典型 的 DDoS 攻击 。 

对 于 Smurf 攻击 的 防范 ,首先 应 该 禁用 网 关 设备 的 IP 广播 功能 ,从 而 避免 伪造 的 
ICMP echo-request 数据 报 文 向 目的 网 络 传播 。 当 然 , 如 果 ICMP echo-request 数据 报 文 
的 目的 IP 地 址 为 本 网 段 的 受 限 广 播 地 址 , 即 在 本 网 段 内 发 动 的 Smurf 攻击 , 则 禁用 网 关 
设备 的 IP 广播 功能 不 会 起 到 防范 作用 ,此 时 只 能 在 操作 系统 上 进行 相应 设置 ,防止 计算 
机 对 IP 广播 请 求 作出 响应 。 

1.3.4 分布 式 拒绝 服务 攻击 

与 拒绝 服务 攻击 一 对 一 的 攻击 方式 不 同 , 分 布 式 拒绝 服务 攻击 (Distributed Denial of 
Service,DDoS) 是 一 种 分 布 .协作 的 大 规模 攻击 方式 。DDoS 攻击 借助 于 客户 /服务 器 技 
术 , 将 多 台 受 控制 的 佛 偶 主机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ， 
从 而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 

在 DDoS 攻击 的 体系 结构 中 共有 4 种 不 同 的 角色 ,如 图 1-8 所 示 。 


1. 攻击 者 

攻击 者 是 整个 DDoS 攻击 中 的 主 控 台 , 它 负责 向 主 控 端 发 送 攻击 命令 。 与 DoS 中 的 
攻击 者 不 同 的 是 ,DDoS 的 攻击 者 对 计算 机 的 配置 和 网 络 带宽 的 要 求 并 不 高 ,只 要 能 够 向 
主 控 端 发 送 攻击 命令 即 可 。 

2. 主 控 端 

主 控 端 即 控制 俐 偶 机 , 主 控 端 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 。 攻 击 者 会 在 主 
控 端 上 安装 DDoS 的 主 控 程 序 ,通过 主 控 程序 主 控 端 可 以 接收 来 自 攻击 者 的 攻击 命令 ,并 
将 这 些 攻击 命令 发 送 到 代理 端 ,从 而 控制 代理 端的 攻击 。 
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时 


攻击 者 


代理 端 


主 控 端 


代理 端 
1-8 DDoS 攻击 的 原理 


3. 代理 端 

代理 端 即 攻击 佛 儒 机 ,代理 端 同样 也 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 。 攻 击 者 
会 在 代理 端 安装 并 运行 DDoS 的 攻击 程序 , 它 可 以 接收 并 运行 主 控 端 发 来 的 攻击 命令 ,对 
被 攻击 者 实施 攻击 。 代 理 端 是 攻击 的 具体 执行 者 。 


4. 被 攻击 者 

被 攻击 者 即 DDoS 攻击 的 受害 者 ,一般 多 为 对 外 提供 访问 服务 的 网 站 ,邮件 服务 器 以 
及 数据 库 系 统 等 。 

在 DDoS 攻击 的 过 程 中 ,攻击 者 首先 会 在 Internet 上 寻找 存在 漏洞 的 主机 ,入 侵 其 系 
统 并 在 其 上 安装 主 控 程 序 或 攻击 程序 ,使 其 成 为 主 控 端 或 代理 端 ; 然后 由 攻击 者 控制 主 
控 端 向 代理 端 发 送 攻击 命令 进行 DDoS 攻击 。 由 于 直接 对 被 攻击 者 进行 攻击 的 代理 端 是 
由 主 控 端 而 不 是 攻击 者 直接 控制 ,因此 DDoS 攻击 的 攻击 者 一 般 很 难 被 发 现 。 典 型 的 
DDoS 攻击 有 TFN (Tribe Flood Network)、TFN2K (Tribe Flood Network 2000)、 
Trinoo 等 。 


1.4 小 结 


章 主要 对 书 中 使 用 到 的 网 络 安全 与 管理 的 项 目 进行 了 介绍 ,对 项 目 中 的 网 络 安全 
与 网 络 管理 的 需求 进行 分 析 ,并 给 出 网 络 安全 与 管理 的 具体 实验 环境 。 另 外 ,本 章 还 对 网 
络 安全 的 概念 以 及 常见 的 网 络 攻击 方式 进行 了 介绍 ,并 简要 介绍 了 网 络 安全 关注 的 内 容 ， 
为 后 续 章 节 进 行 具体 安全 技术 的 介绍 进行 铺垫 。 
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习题 


. 什么 是 网 络 安全 ? 为 什么 说 网 络 安全 是 一 门 综合 性 的 学 科 ? 

. 扫描 攻击 有 了 哪 两 种 形式 ? 其 目的 分 别 是 什么 ? 

.什么 是 会 话 动 持 攻击 ? 按照 攻击 方式 的 不 同 可 以 将 其 分 为 哪 两 种 ? 

.什么 是 拒绝 服务 攻击 ? 典型 的 拒绝 服务 攻击 有 哪些 ? 

.在 分 布 式 拒绝 服务 攻击 的 体系 结构 中 有 几 种 不 同 的 角色 ? 其 作用 分 别 是 什么 ? 
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本 章 任务 : 根据 工程 任务 安全 需求 分 析 ,解决 网 络 边界 访问 控制 配置 问题 。 
必 备 知识 : (1) 无 状态 访问 控制 列表 技术 。 
(2) 有 状态 访问 控制 列表 技术 。 
学 习 目标 : 利用 访问 控制 列表 技术 完成 模拟 公司 分 支 机 构 网 络 边界 访问 控制 配置 ， 
防御 外 网 攻击 。 


2.1 模拟 公司 分 支 机 构 网 络 边界 安全 任务 分 析 


如 图 2-1 所 示 ,模拟 公司 各 分 支 机 构 网 络 通过 Internet 与 模拟 公司 其 他 网 络 相连 ,各 
分 支 机 构 网 络 内 设 有 可 24h 连接 到 Internet 的 邮件 服务 器 ,周一 至 周 五 使 用 端口 3000 一 
3010 通过 Internet 连接 总 /分 公司 的 应 用 服务 器 ,24h 可 通过 Internet SSH 连接 远程 管 
理 的 网 络 设备 。 

由 于 Internet 网 络 的 开放 性 ,各 分 支 机 构 网 络 面临 着 恶意 用 户 勘 测 攻击 \ 访 问 攻击 、 
DoS 攻击 以 及 DDoS 攻击 的 危险 。 为 保护 分 支 机 构 网 络 的 安全 ,需要 在 分 支 机 构 的 边界 
路 由 器 上 进行 访问 控制 列表 的 配置 。 具 体 的 安全 配置 方案 如 下 : 

(1) 在 网 络 边界 上 配置 有 状态 的 访问 控制 列表 过 滤 来 自 Internet 到 内 网 主机 或 服务 
器 的 所 有 ICMP echo 报 文 ,来 防御 利用 ping 进行 的 扫描 攻击 。 

(2) 在 网 络 边界 上 配置 基本 访问 控制 列表 ,过 滤 所 有 来 自 Internet 的 源 地 址 为 bogon 
地 址 或 内 网 地 址 的 访问 ,防御 IP 欺骗 攻击 。 

(3) 在 网 络 边 界 上 配置 基于 有 状态 的 访问 控制 列表 ,防范 DoS 攻击 。 包 括 限 制 来 自 
Internet 的 ICMP 报 文 进 入 内 部 网 络 , 以 防范 Smurf; 限制 Internet 对 分 支 机 构 网 络 主机 
的 主动 TCP 连接 、UDP 连接 ,以 防范 TCP SYN 等 。 

(4) 在 网 络 边 界 上 配置 高 级 访问 控制 列表 ,防范 使 用 特定 协议 消息 、 特 定 端口 的 
DDoS 攻击 。 包 括 阻塞 ICMP echo-reply 消息 ,以 抵御 TFN 攻击 ; 禁止 TCP、UDP 1524、 
27444、27665、16660、65000、31335 端口 的 流量 ,以 防御 Trinoo 等 DDoS 攻击 ; 禁止 TCP 
端口 6665 一 6669 的 IRC 流量 以 防御 Trinity 攻击 ; 禁止 常见 特洛伊 木马 使 用 的 特定 
端口 。 
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图 2-1 模拟 公司 网 络 间 连接 拓扑 示意 图 
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方案 中 提 及 的 bogon 地 址 ,可 以 检索 http://www. cymru. com/Documents/bogon- 
dd. html 获得 ; 常见 木马 端口 可 从 http://www. neohapsis. com/neolabs/neo-ports/neo- 
ports. html 获得 。 表 2-1 显示 了 Internet 上 的 bogon 地 址 。 


表 2-1 bogon 地 址 示例 
网 络 地 址 子 网 掩 码 网 络 地 址 子 网 掩 码 
0.0.0.0 254.0.0.0 100.0.0.0 252. 0.0.0 
2.0.0.0 255. 0.0.0 104.0.0.0 252. 0.0.0 
5.0.0.0 255. 0.0.0 127.0.0.0 255. 0.0.0 
10.0.0.0 255.0.0.0 169. 254. 0.0 255. 255. 0.0 
14.0.0.0 255.0.0.0 172. 16.0.0 255. 240. 0.0 
23.0.0.0 255.0.0.0 176.0.0.0 254.0.0.0 
27.0.0.0 255.0.0.0 179.0.0.0 255. 0.0.0 
31.0.0.0 255.0.0.0 181.0.0.0 255.0.0.0 
36.0.0.0 254.0.0.0 185.0.0.0 255. 0.0.0 
39.0.0.0 255. 0.0.0 192.0.2.0 255. 255. 255. 0 
42.0.0.0 255.0.0.0 192.168.0.0 255. 255. 0.0 
46.0.0.0 255. 0.0.0 198.18.0.0 255. 254. 0.0 
49.0.0.0 255. 0.0.0 223. 0.0.0 255. 0.0.0 
50.0.0.0 255. 0.0.0 224. 0.0. 224.0.0.0 
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2.2 访问 控制 列表 基础 


一 个 访问 控制 列表 (Access Control List, ACL) 由 多 条 有 顺序 的 规则 (rule) 组 成 ,每 
一 条 规则 都 定义 了 一 个 匹配 条 件 及 相应 的 动作 。 包 过 滤 防 火 墙 通过 引用 相应 的 ACL, 使 
用 ACL 中 的 规则 顺序 对 网 络 中 的 数据 包 进 行 分 类 匹配 ,并 根据 匹配 规则 中 相应 的 动作 
允许 或 拒绝 数据 包 的 通过 。 根据 引 用 ACL 位 置 的 不 同 ,可 以 将 ACL 分 为 人 站 ACL 和 
出 站 ACL 两 种 ,下 面 分 别 对 其 工作 流程 进行 介绍 。 

2.2.1 入 站 ACL 工作 流程 

默认 情况 下 ,路 由 器 某 个 接口 的 人 站 (inbound) 方 向 上 没有 应 用 ACL, 因 此 该 接口 
inbound 方向 上 的 数据 包 将 直接 进入 转发 流程 。 如 果 在 路 由 器 某 个 接口 的 inbound 方向 
上 应 用 了 ACL, 则 该 接口 入 站 方向 的 数据 包 需 要 进行 ACL 的 匹配 。 具 体 流 程 如 下 。 

(1) 首先 使 用 ACL 定义 的 第 一 条 规则 去 匹配 数据 包 , 如 果 匹 配 成 功 , 则 执行 该 规则 
定义 的 动作 。 如 果 动 作为 Permit, 则 数据 包 通过 并 进入 转发 流程 ; 如 果 动 作为 Deny, 则 
数据 包 被 丢弃 。 

(2) 如 果 第 一 条 规则 匹配 没有 成 功 , 则 继续 尝试 匹配 下 一 条 ACL 规则 ,直到 匹配 成 功 。 

(3) 如 果 数 据 包 没有 匹配 到 任何 一 条 规则 , 则 执行 ACL 默认 规则 的 动作 。 上 默认 情况 
下 ,H3C 设备 上 的 默认 动作 为 Permit, 即 允许 数据 包 通 过 ; Cisco 设备 上 的 默认 动作 为 
Deny, 即 禁止 数据 包 通 过 。 

H3C 设备 上 入 站 ACL 的 工作 流程 如 图 2-2 所 示 。 


数据 包 进 入 
转发 流程 


No, 执 行 默认 规则 


图 2-2 入 站 ACL 工作 流程 
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2.2.2 出 站 ACL 工作 流程 

默认 情况 下 ,路 由 器 某 个 接口 的 出 站 (outbound) 方 向 上 没有 应 用 ACL, 因 此 该 接口 
outbound 方向 上 的 数据 包 将 直接 从 接口 发 出 。 如 果 在 路 由 器 某 个 接口 的 outbound 方向 
上 应 用 了 ACL, 则 该 接口 出 站 方向 的 数据 包 需 要 进行 ACL 的 匹配 。 具 体 流程 如 下 。 

(1) 首先 使 用 ACL 的 第 一 条 规则 去 匹配 数据 包 , 如 果 匹 配 成 功 , 则 执行 该 规则 定义 
的 动作 。 如 果 动 作为 Permit, 则 数据 包 直接 从 接口 发 出 ; 如 果 动 作为 Deny, 则 数据 包 被 

(2) 如 果 第 一 条 规则 匹配 没有 成 功 , 则 继续 尝试 匹配 下 一 条 ACL 规则 ,直到 匹配 
成 功 。 

(3) 如 果 数 据 包 没 有 匹配 到 任何 一 条 规则 , 则 执行 ACL 默认 规则 的 动作 。 默 认 情 况 
下 ,H3C 设备 上 的 默认 动作 为 Permit, 即 允许 数据 包 通 过 ; Cisco 设备 上 的 默认 动作 为 
Deny, 即 禁止 数据 包 通过 。 

H3C 设备 上 出 站 ACL 的 工作 流程 如 图 2-3 所 示 。 


规则 ? 


下 
通过 数据 包 出 站 
1 


图 2-3 出 站 ACL 工作 流程 


No, 执 行 默认 规则 


2.2.3 ”ACL 配置 注意 事项 

在 进行 ACL 的 配置 时 需要 注意 以 下 4 点 。 

(1) ACL 规则 的 顺序 。 由 于 ACL 在 默认 情况 下 是 按照 规则 的 配置 顺序 进行 数据 包 
的 匹配 ,只 有 在 某 一 条 规则 匹配 失败 的 情况 下 才 会 进行 下 一 条 规则 的 匹配 ,而 一 旦 某 一 条 
规则 匹配 成 功 , 则 将 直接 执行 相应 的 动作 而 不 再 匹配 该 条 规则 之 后 的 规则 ,因此 在 写 
ACL 时 一 定 要 正确 配置 多 条 规则 之 间 的 顺序 。ACL 一 般 按 照 规则 的 约束 性 强 弱 对 其 进 
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行 排序 ,将 约束 性 最 强 的 规则 放置 在 ACL 的 顶部 ,而 约束 性 最 弱 的 规则 放置 在 ACL 的 
底部 ,以 保证 ACL 能 够 被 有 效 执行 。 

(2) 尽量 避免 使 用 ACL 的 默认 规则 。 不 同 品牌 的 设备 在 对 ACL 默认 规则 的 处 理 上 
不 尽 相 同 ,例如 ,H3C 的 设备 上 ACL 默认 规则 的 动作 为 permit ,而 Cisco 的 设备 上 ACL 
默认 规则 的 动作 为 deny。 而 且 默认 规则 的 动作 均 可 以 通过 命令 来 修改 ,这 也 造成 了 同一 
品牌 的 设备 可 能 在 默认 规则 上 也 会 有 所 区 别 。 因 此 为 了 保证 ACL 的 健壮 性 和 可 移植 
性 ,一般 应 将 所 有 规则 显 式 地 写 出 ,而 尽量 避免 使 用 ACL 的 默认 规则 。 

(3) 在 路 由 器 接口 的 一 个 方向 上 只 能 应 用 一 个 ACL, 如 果 在 已 经 应 用 了 ACL 某 个 
接口 的 某 个 方向 上 再 次 应 用 一 个 ACL, 则 最 后 应 用 的 ACL 将 生效 。 

(4) ACL 只 能 对 进入 路 由 器 的 外 部 流量 进行 过 滤 ,并 不 过 滤 应 用 ACL 的 路 由 器 接 
口 自 身 产 生 的 流量 。 
2.2.4 通配符 掩 码 

在 ACL 定义 的 规则 中 ,匹配 条 件 使 用 IP 地 址 和 通配符 掩 码 来 匹配 特定 地 址 段 的 数 
据 包 ,其 中 通配符 掩 码 用 来 定义 匹配 的 地 址 范围 ,作用 与 子 网 掩 码 类 似 。 与 子 网 掩 码 相同 
的 是 ,通配符 掩 码 也 是 由 32 位 的 二 进 制 数组 成 ,可 以 表示 为 点 分 十 进 制 形式 ; 与 子 网 掩 
码 不 同 的 是 ,在 通配符 掩 码 中 如 果 某 一 位 的 值 为 1, 表示 匹配 条 件 中 IP 地 址 对 应 位 可 以 
忽略 ,如 果 某 一 位 的 值 为 0, 则 表示 匹配 条 件 中 IP 地 址 对 应 位 必须 要 匹配 。 一 些 网 段 的 
通配符 掩 码 与 子 网 掩 码 的 比较 如 表 2-2 所 示 。 


表 2-2 通配符 掩 码 与 子 网 掩 码 的 比较 


IP 网 段 子 网 掩 码 通配符 掩 码 
10.0.0.0/8 255.0.0.0 0. 255. 255. 255 
172. 16. 1. 0/16 255. 255.0.0 0. 0. 255. 255 
192. 168. 1. 0/24 255. 255. 255.0 0. 0. 0. 255 
192. 168. 1. 0/26 255. 255. 255. 192 0.0.0.63 


从 表 2-2 中 可 以 看 出 ,ACL 的 通配符 掩 码 好 像 总 是 和 子 网 掩 码 相反 ,这 是 因为 ACL 
在 进行 匹配 时 往往 也 是 以 网 段 为 单位 ,由 于 网 络 地 址 需要 匹配 ,因此 通配符 掩 码 对 应 位 需 
要 取 0 ,主机 位 不 需要 匹配 ,因此 通配符 掩 码 对 应 位 需要 取 1。 这 样 计算 的 结果 总 是 和 子 
网 掩 码 求 反 的 结果 相同 ,因此 通配符 掩 码 在 某 些 教材 上 又 称 为 反 掩 码 , 事 实 上 这 种 叫 法 并 
不 准确 。 因 为 子 网 掩 码 中 1 或 者 0 必须 是 连续 的 ,而 通配符 掩 码 则 没有 这 样 的 要 求 。 

例如 ,如 果 一 条 规则 要 求 匹 配 网 段 202. 207. 120. 0/24 中 的 所 有 主机 号 为 偶数 的 主 
机 , 则 匹配 条 件 中 IP 地 址 为 202. 207. 120. 0 ,通配符 掩 码 为 0. 0. 0. 254 ,用 二 进 制 表 示 通 
配 符 掩 码 为 00000000. 00000000. 00000000. 11111110, 即 IP 地 址 的 最 后 一 位 必须 匹配 为 
0。 同 理 , 如 果 一 条 规则 要 求 匹配 网 段 202. 207. 120. 0/24 中 的 所 有 主机 号 为 奇数 的 主机 ， 
则 匹配 条 件 中 IP 地 址 为 202. 207. 120.1, 通 配 符 掩 码 为 0. 0.0. 254, 即 IP 地 址 的 最 后 一 
位 必须 匹配 为 1。 另 一 种 情况 是 匹配 多 个 不 连续 的 网 段 ,例如 如 果 一 条 规则 要 求 匹配 
192. 168. 1. 0/24 和 192. 168. 3.0/24 两 个 网 段 , 则 匹配 条 件 中 的 IP 地 址 为 192. 168. 1. 0， 
通配符 掩 码 为 0. 0. 2. 255, 用 二 进 制 表示 通配符 掩 码 为 00000000. 00000000. 00000010. 
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11111111, 即 IP 地 址 中 的 第 23 位 不 需要 进行 匹配 。 
2.2.5 ACL 的 类 型 与 编号 


根据 ACL 规则 中 匹配 条 件 的 不 同 ,ACL 可 以 分 为 4 种 不 同 的 类 型 ,用 不 同 范围 的 编 
号 来 进行 区 别 。 其 中 H3C 设备 上 的 ACL 编号 具体 如 表 2-3 所 示 。 


表 2-3 ACL 类 型 与 编号 


ACL 类 型 编号 范围 
基本 访问 控制 列表 2000~2999 
高 级 访问 控制 列表 3000~3999 
基于 二 层 的 访问 控制 列表 4000~4999 
用 户 自 定义 的 访问 控制 列表 5000~5999 


基本 ACL 只 能 根据 报 文 的 源 IP 地 址 信息 对 数据 包 进 行 过 滤 。 高 级 ACL 可 以 根据 
报 文中 的 源 IP 地 址 \ 目 的 IP 地址、IP 承载 的 协议 类 型 .协议 的 特性 等 三 、 四 层 信息 对 数 
据 包 进行 过 滤 。 

基于 二 层 的 ACL 可 以 根据 报 文 的 源 MAC 地 址 .目的 MAC 地 址 、VLAN 优先 级 、 二 
层 协 议 类 型 等 二 层 信 息 对 数据 包 进 行 过 滤 。 例 如 ,可 以 使 用 基于 二 层 的 ACL 来 禁止 以 
太 帧 头 的 VLAN 标签 中 IEEE 802. lp CLAN Layer 2 QoS/CoS Protocol for Traffic 
Prioritization) 优先 级 为 3 的 数据 报 文通 过 路 由 器 ,而 允许 其 他 数据 报 文通 过 。 

用 户 自 定义 的 ACL 可 以 以 报 文 的 报 文 头 、IP 头等 为 基准 ,指定 从 第 几 个 字 节 开始 与 
掩 码 进 行 “ 与 "操作 ,将 从 报 文中 提取 出 来 的 字符 串 和 用 户 定义 的 字符 串 进行 比较 ,从 而 对 
数据 包 进行 过 滤 。 例 如 ,可 以 使 用 用 户 自 定义 的 ACL 来 禁止 ARP 报 文 , 即 从 以 太 帧 头 
开始 算 起 第 13 和 14 字 节 内 容 为 0x0806 的 数据 报 文通 过 。 

在 Cisco 设备 上 对 应 于 基本 访问 控制 列表 , 称 为 标准 访问 控制 列表 ,编号 范围 为 1 一 
99 和 1300 一 1999; 对 应 于 高 级 访问 控制 列表 , 称 为 扩展 访问 控制 列表 ,编号 范围 为 100 一 
199 和 2000 一 2699。 另 外 ,无 论 对 于 标准 访问 控制 列表 还 是 扩展 访问 控制 列表 ,在 Cisco 
设备 上 均 可 以 使 用 命令 访问 控制 列表 的 方式 来 进行 配置 ,从 而 使 用 有 意义 的 名 字 来 代替 
访问 控制 列表 的 编号 。 

在 本 书 中 只 对 基本 ACL 和 高 级 ACL 进行 介绍 ,关于 基于 二 层 的 ACL 和 用 户 自 定 
义 的 ACL 的 内 容 不 再 涉及 , 感 兴趣 的 读者 可 以 自行 查阅 相关 资料 。 

在 H3C 设备 上 定义 ACL 时 ,给 出 ACL 编号 的 同时 也 可 以 为 ACL 指定 一 个 名 称 , 便 
于 ACL 的 记忆 和 维护 。 
2.2.6 ACL 规则 的 匹配 顺序 

在 H3C 设备 上 ,ACL 支持 两 种 不 同 的 匹配 顺序 ,分 别 是 配置 顺序 (config) 和 自动 排 
序 (auto)。 其 中 ,配置 顺序 为 按照 规则 配置 的 先后 顺序 进行 数据 包 的 匹配 ; 自动 排序 则 
是 按照 规则 深度 优先 的 顺序 进行 数据 包 的 匹配 , 即 系统 优先 考虑 约束 性 强 的 规则 。 系 统 
默认 匹配 顺序 为 按 配置 顺序 匹配 ,可 以 通过 以 下 命令 修改 ACL 的 匹配 顺序 : 


[H3C]acl number acl-number match-order {auto| config} 
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如 果 系 统 的 匹配 顺序 为 自动 排序 , 则 基本 ACL 和 高 级 ACL 遵循 的 匹配 原则 如 下 。 


1. 基本 ACL 匹配 原则 
(1) 首先 比较 源 IP 地 址 范围 , 源 IP 地 址 范围 小 的 规则 优先 。 
(2) 如 果 源 IP 地 址 范围 相同 , 则 先 配置 的 规则 优先 。 


2. 高 级 ACL 匹配 原则 

(1) 首先 比较 协议 范围 ,指定 了 IP 协议 承载 的 协议 类 型 的 规则 优先 。 

(2) 如 果 协 议 范围 相同 , 则 比较 源 IP 地 址 的 范围 , 源 IP 地 址 范围 小 的 规则 优先 。 

(3) 如 果 源 IP 地 址 范围 相同 , 则 比较 目的 IP 地 址 的 范围 ,目的 IP 地 址 范围 小 的 规 
则 优先 。 

(4) 如 果 目 的 IP 地 址 范围 也 相同 , 则 比较 第 四 层 TCP/UDP 端口 号 的 范围 ,端口 号 
范围 小 的 规则 优先 。 

(5) 如 果 上 述 范围 都 相同 , 则 先 配 置 的 规则 优先 。 

在 进行 ACL 的 配置 时 ,一 定 要 确定 该 ACL 使 用 的 匹配 顺序 。 对 于 同一 个 ACL, 如 
果 使 用 的 匹配 顺序 不 同 ,很 可 能 会 导致 不 同 的 执行 结果 。 


2.3 基本 访问 控制 列表 


由 于 基本 ACL 只 能 根据 报 文 的 源 IP 地 址 信息 对 数据 包 进行 过 滤 , 因 此 一 般 适 用 于 
过 滤 从 特定 网 络 来 的 数据 流量 等 相对 简单 的 情况 。 按 照 基本 ACL 应 用 位 置 的 不 同 , 可 
以 将 其 分 为 应 用 在 接口 上 的 基本 ACL 和 应 用 在 虚拟 终端 连接 (Virtual Type Terminal， 
VTY) 上 的 基本 ACL。 
2.3.1 应 用 在 接口 上 的 基本 ACL 

1.H3C 设备 的 配置 

在 H3C 设备 上 配置 应 用 在 接口 上 的 基本 ACL 涉及 的 命令 如 下 。 

(1) 启动 防火 墙 功能 。 默 认 情 况 下 路 由 器 的 防火 墙 功能 是 关闭 的 ,必须 通过 firewall 
enable 命令 将 其 启动 。 


[H3C]firewall enable 
(2) 定义 一 个 基本 ACL, 其 中 acl-number 的 取 值 范围 为 2000 一 2999。 


[H3C] acl number acL-number name name 
(3) 在 ACL 配置 视图 下 ,定义 该 ACL 的 规则 。 


[H3C-acl-basic-2000] rule [rule-id] {deny | permit) [source {sour-addr sour-wildcard | any) | 

fragment|logging | time-range time-name] 

其 中 各 个 参数 的 解释 如 下 。 

ruleid : 规则 ID, 在 一 个 ACL 下 可 以 定义 多 个 规则 ,按照 规则 ID 从 小 到 大 的 顺序 
排列 。 上 默认 情况 下 规则 ID 的 步 长 为 5, 即 相 邻 规则 之 间 的 编号 之 差 为 5。 使 用 较 大 的 步 


入、 


AN 
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长 设 定 能 够 方便 用 户 在 已 有 规则 之 间 插 入 新 的 规则 ,从 而 方便 对 ACL 的 管理 和 维护 。 

deny|permit: 相应 规则 的 动作 ,deny 表示 丢弃 符合 匹配 条 件 的 报 文 ; permit 表示 人 允 
许 符合 匹配 条 件 的 报 文 。 

source {sour-addr sour-wildcard | any}: 指定 相应 规则 的 源 IP 地 址 信息 。sour- 
addr 表示 报 文 的 源 IP 地 址 ; sour-wildcard 表示 通配符 掩 码 ; any 表示 匹配 任意 IP 
地 址 。 

fragment: 分 片 信息 ,用 来 定义 相应 规则 仅 对 非 首 片 分 片 报 文 有 效 , 而 对 非 分 片 报 文 
和 首 片 分 片 报 文 无 效 。 默 认 情 况 下 ,ACL 对 于 非 分 片 报 文 和 分 片 报 文 均 有 效 。 

logging: 对 符合 匹配 条 件 的 报 文 记录 日 志 信 息 。 

time-range time-name : 指定 规则 生效 的 时 间 段 。 具 体 在 2. 4 节 中 进行 详细 介绍 。 

(4) 将 ACL 应 用 到 特定 接口 的 特定 方向 上 。 


[H3C-Ethernet0/0]firewall packet-filter {aci-number |name acl-name) {inbound|outbound} 
假设 存在 如 图 2-4 所 示 的 网 络 ,网 络 联通 性 已 经 配置 完成 。 要 求 配置 基本 ACL 以 禁 
止 10.1.1.0/24 网 段 的 主机 访问 网 段 13.1.1.0/24, 但 是 允许 其 他 所 有 网 段 之 间 的 互 访 。 
RTA RTB 


S2/0:11.1.1.2/24 


S1/0:11.1.1.1/24 


E0/0:10.1.1.1/24 E0/0:12.1.1.1/24 EO0/1:13.1.1.1/24 


PCI PC PC 


图 2-4 基本 ACL 的 配置 


现 对 任务 分 析 如 下 。 

(1) 由 于 基本 ACL 只 能 根据 报 文 的 源 IP 地 址 信息 对 数据 包 进 行 过 滤 , 因 此 要 满足 
禁止 10.1. 1. 0/24 网 段 的 主机 访问 网 段 13. 1. 1. 0/24 的 要 求 ,定义 的 ACL 规则 中 的 源 
IP 地 址 应 为 10. 1. 1.0, 通 配 符 掩 码 应 为 0. 0. 0. 255。 

(2) 该 基本 ACL 只 能 应 用 在 RTB 接口 Ethernet 0/1 的 outbound 方向 上 。 如 果 应 
用 在 其 他 位 置 , 则 有 可 能 将 从 10. 1. 1.0/24 网 段 去 往 其 他 网 段 的 正常 流量 过 滤 掉 。 例 如 ， 
将 ACL 应 用 到 路 由 器 RTA 的 Ethernet 0/0 的 inbound 方向 上 , 则 将 导致 10. 1. 1. 0/24 
网 段 无 法 访问 任何 其 他 网 段 。 一 般 而 言 ,对 于 ACL 的 应 用 位 置 原则 是 在 不 影响 其 他 合 
法 流量 的 前 提 下 , 尽 可 能 使 其 靠近 被 拒绝 的 源 。 但 是 实际 上 基本 ACL 都 需要 应 用 在 离 
目的 地 比较 近 的 位 置 ,否则 总 是 会 影响 到 正常 流量 的 转发 。 

具体 的 配置 命令 如 下 : 

[RTB]firewall enable 


[RTB]acl number 2000 
[RTB-acl-basic-2000]rule deny source 10.1.1.0 0.0.0.255 
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[RTB-acl-basic-2000]rule permit 

[RTB-acl-basic-2000] quit 

[RTB]interface Ethernet 0/1 
[RTB-Ethernet0/1]firewall packet-filter 2000 outbound 


需要 注意 的 是 ,一般 在 配置 ACL 的 时 候 ,最 后 一 条 规则 总 是 显 式 地 给 出 允许 所 有 或 
拒绝 所 有 ,而 避免 使 用 默认 规则 ,以 保证 ACL 的 可 移植 性 和 健壮 性 。 

配置 完成 后 ,在 路 由 器 RTB 上 执行 display acl all 命令 显示 结果 如 下 : 

[RTB] display acl all 

Basic ACL 2000, named -none-, 2 rules, 

ACL's step is 5 

rule 0 deny source 10.1.1.0 0.0.0.255 (4 times matched) 

rule 5 permit (31 times matched) 

从 上 面 显示 的 结果 可 以 看 出 ,在 路 由 器 RTB 上 配置 了 基本 ACL, 编 号 为 2000, 包 含 
两 条 规则 ,ACL 的 规则 ID 步 长 为 5, 其 中 两 条 规则 分 别 有 4 次 命中 和 31 次 命中 。 

在 路 由 器 RTB 上 执行 display firewall-statistics all 命令 显示 结果 如 下 : 


[RTB] display firewall-statistics all 
Firewall is enable, default filtering method is 'permit'. 


Interface: Ethernet0/1 
Out-bound Policy: acl 2000 
Fragments matched normally 
From 2011-11-03 15:34:02 to 2011-11-03 15:51:37 
35 packets, 3188 bytes, 89% permitted, 
4 packets, 240 bytes, 11% denied, 
0 packets, 0 bytes, 0% permitted default, 
0 packets, 0 bytes, 0% denied default, 
Totally 35 packets, 3188 bytes, 89% permitted, 
Totally 4 packets, 240 bytes, 11% denied. 


从 上 面 显示 的 结果 可 以 看 出 ,在 路 由 器 RTB 上 防火 墙 处 于 开启 状态 ,默认 的 过 滤 规 
则 是 允许 ,在 接口 Ethernet 0/1 的 出 站 方向 上 应 用 了 ACL 2000, 以 及 对 数据 报 文 过 滤 的 
详细 统计 信息 。 

在 用 户 视 图 下 使 用 命令 reset firewall-statistics all 和 reset acl counter all ,可 以 清空 
防火 墙 统计 信息 和 ACL 的 报 文 命 中 信息 。 

此 时 在 PC, 上 使 用 ping 命令 进行 测试 会 发 现 PC; 无 法 访问 PC; ,但 可 以 访问 PC;， 
从 而 验证 了 该 基本 ACL 应 用 正确 。 


2. Cisco 设备 的 配置 
在 Cisco 设备 上 配置 应 用 在 接口 上 的 标准 ACL 涉及 的 命令 如 下 。 
(1) 定义 一 个 标准 ACL, 其 中 access-list-number 的 取 值 范围 为 1 一 99 和 1300 一 1999。 


Router(config) # access-list access list-number {permit|deny} source [source-wildcard] [log] 


首先 ,在 Cisco 设备 上 默认 防火 墙 功 能 处 于 启动 状态 ,因此 在 配置 ACL 之 前 不 需要 


和 
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使 用 专门 的 命令 来 启动 防火 墙 功能 ; 其 次 ,在 Cisco 设备 上 ACL 的 配置 是 在 全 局 配置 模 
式 下 进行 的 ,通过 参数 access-list-number 来 判断 多 个 ACL 语句 是 否 属于 同一 个 ACL。 
(2) 将 ACL 应 用 到 特定 接口 的 特定 方向 上 。 


Router(config-if) # ip access-group access-list number {in|out} 


在 Cisco 设备 上 也 可 以 使 用 命名 ACL 来 配置 标准 ACL。 命 名 标准 ACL 的 配置 命令 
如 下 。 


Router(config) # ip access-list standard name 
Router(config-std-nacl) # {permit|deny} source [source-wildcard] [log] 


在 此 依然 对 图 2-4 所 示 的 网 络 进行 标准 ACL 的 配置 ,具体 的 配置 命令 如 下 。 


RTB(config) # ip access-list standard abc 
RTB(config-std-nacl)# deny 10.1.1.0 0.0.0.255 
RTB(config-std-nacl) # permit any 
RTB(config-std-nacl) # exit 

RTB(config) # interface FastEthernet 0/1 
RTB(config-if) # ip access-group abc out 


配置 完成 后 ,在 路 由 器 RTB 上 执行 show access-lists 命令 显示 结果 如 下 。 


RTB# show access-lists 
Standard IP access list abc 
deny 10.1.1.0, wildcard bits 0.0.0.255 (8 matches) 
permit any (4 matches) 
从 上 面 的 显示 结果 可 以 看 出 ,在 路 由 器 RTB 上 配置 了 命名 标准 ACL, 名 称 为 abc, 包 
含 两 条 规则 ,分 别 有 8 次 命中 和 4 次 命中 。 
此 时 在 PC! 上 使 用 ping 命令 进行 测试 会 发 现 PC 无 法 访问 PC; ,但 可 以 访问 PC;， 
从 而 验证 了 该 标准 ACL 应 用 正确 。 
2.3.2 应 用 在 VTY 上 的 基本 ACL 
1.H3C 设备 的 配置 
在 H3C 设备 上 配置 应 用 在 VTY 上 的 基本 ACL 和 配置 应 用 在 接口 上 的 基本 ACL 
所 涉及 的 命令 基本 相同 ,唯一 的 区 别 是 第 4 步 将 基本 ACL 应 用 在 VTY 上 的 命令 ,具体 
如 下 。 


[H3C-ui-vty0-4]acl actnumber {inbound|outbound)} 


在 这 里 依然 使 用 图 2-4 所 示 的 网 络 ,假设 路 由 器 RTB 的 管理 接口 为 LoopBack 0, 管 
理 地 址 为 1.1.1.1/32, 并 在 RIPv2 协议 中 进行 发 布 。 在 路 由 器 RTB 上 开启 虚拟 终端 连 
接 服 务 ,设置 其 验证 方式 为 密码 验证 方式 ,密码 为 123, 登 录 运 行 级 别 为 管理 级 。 具 体 配 
置 命令 如 下 。 


[RTB]interface LoopBack 0 
[RTB-LoopBackojip address 1.1.1.1 32 
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[RTB-LoopBacko]quit 

[RTB]rip 

[RTB-rip-1] version 2 

[RTB-rip-1] undo summary 
[RTB-rip-1]network 1.0.0.0 

[RTB-rip-1] quit 

[RTB]| telnet server enable 
[RTB]user-interface vty 0 4 

[RTB-ui-vty0-4] authentication-mode password 
[RTB-ui-vty0-4] set authentication password simple 123 
[Re i ite hiivilese levels 


注意 : 本 部 分 涉及 的 环 回 接口 .RIPv2 以 及 虚拟 终端 连接 的 相关 知识 在 “网 络 集成 技 
术 ” 课 程 中 进行 讲解 ,在 此 只 使 用 其 命令 ,具体 内 容 不 做 介绍 。 

配置 完成 后 ,在 PC .PC 和 PC; 上 均 可 以 通过 Telnet 方式 连接 到 路 由 器 RTB 上 ， 
具体 如 下 。 


Microsoft Windows XP [版 本 5.1.2600] 
(C) 版 权 所 有 1985-2001 Microsoft Corp. 
C:\Documents and Settings\Administrator>telnet 1.1.1.1 


关 关 关 关 关 关 关 闫 关 闫 美美 关 关 尖 关 关 关 关 尖 关 关 尖 尖 尖 尖 尖 关 尖 关 关 关 关 关 关 关 关 关 关 关 关 关 闫 关 关 关 关 关 关 尖 关 关 关 关 关 关 关 尖 关 关 关 关 关 关 关 关 关 关 关 关 
* Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved. * 
# Without the owner's prior written consent, 关 
* no decompiling or reverse-engineering shall be allowed . 共 
关 关 关 关 关 关 关 闫 美美 闫 美美 关 关 闫 关 美美 关 关 关 尖 尖 尖 关 尖 关 关 尖 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关头 关 关头 关 尖 关 关 关 关 关 关 关 关 关 关 关 关 
Login authentication 

Password: 

<RTB> system-view 

System View: return to User View with Ctrl 十 Z. 

[RTB] 


假设 PC; 的 IP 地 址 为 12. 1. 1. 2/24, 要 求 配置 应 用 在 VTY 上 的 基本 ACL, 以 禁止 
PC。 通过 Telnet 方式 连接 到 路 由 器 RTB 上 ,而 允许 其 他 主机 Telnet 到 路 由 器 RTB 上， 
具体 的 配置 命令 如 下 。 

[RTB]|firewall enable 

[RTB]acl number 2001 

[RTB-acl-basic-2001]rule deny source 12.1.1.2 0 

[RTB-acL-basic-2001]rule permit 

[RTB-acl-basic-2001] quit 

[RTB]user-interface vty 0 4 

[RTB-ui-vty0-4]acl 2001 inbound 

需要 注意 的 是 ,与 应 用 在 接口 上 的 基本 ACL 不 同 ,对 于 应 用 在 VTY 上 的 基本 ACL 
其 默认 规则 为 拒绝 所 有 流量 ,也 就 是 说 如 果 在 上 面 的 ACL 中 没有 配置 规则 rule permit， 
则 所 有 的 PC 均 无 法 通过 Telnet 的 方式 连接 到 路 由 器 RTB 上 。 

配置 完成 后 ,在 PC: 上 通过 Telnet 方式 连接 路 由 器 RTB 显示 结果 如 下 。 
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C:\Documents and Settings\Administrator>telnet 1.1.1.1 

Wconnection closed by remote host! 

失去 了 跟 主机 的 连接 . 

而 在 PC, 和 PCs 上 均 可 以 通过 Telnet 方式 连接 到 路 由 器 RTB 上 ,从 而 验证 了 该 基 
本 ACL 应 用 正确 。 


2. Cisco 设备 的 配置 
在 Cisco 设备 上 配置 应 用 在 VTY 上 的 标准 ACL 和 配置 应 用 在 接口 上 的 标准 ACL 所 
涉及 的 命令 基本 相同 ,唯一 的 区 别 是 第 2 步 将 基本 ACL 应 用 在 VTY 上 的 命令 ,具体 如 下 。 


Router(config) # line vty 0 4 
Router(config-line) # access-class {access list-number |access list-name) {in|out} 


在 此 ,配置 要 求 与 上 面 H3C 设备 的 配置 要 求 相 同 ,具体 的 配置 命令 如 下 。 


RTB(config) # ip access-list standard tel 

RTB(config-std-nacl) # deny host 12.1.1.2 

RTB(config-std-nacl) # permit any 

RTB(config-std-nacl) # exit 

RTB(config)# line vty 0 4 

RTB(config-line) # access-class tel in 

配置 完成 后 ,在 PC 和 PCs 上 均 可 以 通过 Telnet 方式 连接 到 路 由 器 RTB 上 ,PC* 则 
无 法 Telnet 到 路 由 器 RTB 上 ,从 而 验证 了 该 基本 ACL 应 用 正确 。 


2.4 高 级 访问 控制 列表 


2.4.1 高 级 ACL 的 基础 应 用 

高 级 ACL 可 以 根据 报 文中 的 源 IP 地 址 \ 目 的 IP 地 址 、IP 承载 的 协议 类 型 .协议 的 
特性 等 三 .四 层 信息 对 数据 包 进 行 过 滤 , 因 此 比较 适用 于 过 滤 某 些 网 络 中 的 特定 应 用 以 及 
过 滤 精 确 的 数据 流 。 

1.H3C 设备 的 配置 

在 H3C 设备 上 配置 高 级 ACL 涉及 的 命令 如 下 。 

(1) 启动 防火 墙 功能 。 默 认 情 况 下 路 由 器 的 防火 墙 功能 是 关闭 的 ,必须 通过 firewall 
enable 命令 将 其 启动 。 

[H3C]firewall enable 

(2) 定义 一 个 高 级 ACL。 其 中 acl-number 的 取 值 范围 为 3000 一 3999 。 

[H3C]acl number acL-number name name 


(3) 在 ACL 配置 视图 下 ,定义 该 ACL 的 规则 。 


[H3C-acl-adv-3000]rule [ruleid] {deny|permit) protocol [source {sour-addr sour-wildcard |any} 
|source-port operator portl [port2] | destination {destaddr dest-wildcard | any} | destination-port 
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operator port1 [port2] established | icmp-type {icmptype icmp-code |icmp-message)} |fragment| 

logging| time-range time-name] 

其 中 部 分 参数 的 解释 如 下 。 

protocol: IP 承载 的 协议 类 型 。 用 数字 表示 时 , 取 值 范围 为 0 一 255; 用 名 字 表 示 时 ， 
可 以 选取 gre(47) ,icmp(1) .igmp(2) ,ip,ipinip(4)、ospf(89)、tcp(6)、udp(17)。 如 果 某 
条 规则 定义 的 协议 类 型 为 ip, 则 该 规则 覆盖 所 有 的 其 他 协议 数据 报 文 。 

operator: 端口 操作 符 。 在 协议 类 型 为 TCP 或 UDP 时 使 用 的 参数 ,可 以 取 值 lt( 小 
于 ) .gt( 大 于 ) ,eq( 等 于 ) .neq( 不 等 于 ) 或 者 range( 在 范围 内 ,包括 边界 值 )。 其 中 只 有 
range 需要 两 个 端口 号 作为 操作 数 ,其 他 的 取 值 只 需要 一 个 端口 号 作为 操作 数 。 

portl port2: TCP 或 UDP 的 端口 号 , 取 值 范 围 为 0 一 65535 ,也 可 以 用 文字 表示 。 

established: TCP 连接 建立 标识 ,用 于 匹配 一 个 已 建立 的 TCP 连接 。 如 果 TCP 数 
据 报 文中 的 响应 位 ACK 或 重 置 连接 位 RST 等 控制 位 被 置 位 , 则 匹配 ; 如 果 是 要 求 建立 
TCP 连接 的 初始 数据 报 文 , 则 不 匹配 。 

icmp-type (icmp-type icmp-code|icmp-message): ICMP 报 文 的 消息 类 型 和 消息 码 
信息 ,在 协议 类 型 为 ICMP 时 使 用 的 参数 。 其 中 ,icmp-type 是 指 ICMP 的 消息 类 型 , 取 
值 范围 为 0 一 255; icmp-code 是 指 ICMP 的 消息 码 , 取 值 范围 为 0~255; icmp-message 
是 指 ICMP 消息 的 名 称 。 一 般 在 高 级 ACL 中 比较 常用 到 的 两 种 ICMP 消息 为 ICMP 
echo 消息 和 ICMP echo-reply 消息 。 

(4) 将 ACL 应 用 到 特定 接口 的 特定 方向 上 。 


[H3C-Ethernet0/0]firewall packet-filter {acLnamzber|name act-name} {inbound|outbound} 


在 这 里 依然 使 用 图 2-4 所 示 的 网 络 拓扑 ,要 求 使 用 高 级 ACL 实现 相同 的 流量 控制 ， 
具体 的 配置 命令 如 下 。 
[RTA |firewall enable 
[RTA]acl number 3000 
[RTA-acl-adv-3000]rule deny ip source 10.1.1.0 0.0.0.255 destination 13.1.1.0 0.0.0.255 
[RTA-acl-adv-3000]rule permit ip 
[RTA-acl-adv-3000]quit 
[RTA|interface Ethernet 0/0 
[RTA-Ethernet0/0|firewall packet-filter 3000 inbound 
由 于 高 级 ACL 可 以 实现 对 流量 的 精确 匹配 ,因此 一 般 应 用 在 靠近 被 过 滤 源 的 接口 
上 ,以 尽早 阻止 不 必要 的 流量 进入 网 络 。 在 这 里 将 高 级 ACL 应 用 在 路 由 器 RTA 接口 
Ethernet 0/0 的 inbound 方向 上 。 

此 时 在 PC! 上 使 用 ping 命令 进行 测试 会 发 现 PC 无 法 访问 PC; ,但 可 以 访问 PC;， 
从 而 证 明了 该 高 级 ACL 应 用 正确 。 

2. Cisco 设备 的 配置 

在 Cisco 设备 上 配置 扩展 ACL 涉及 的 命令 如 下 。 

(1) 定义 一 个 扩展 ACL。 其 中 access-list-number 的 取 值 范围 为 100 一 199 和 2000 一 
2699 。 


一 
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使 
式 


Router (config ) # access-list access list-number { permit | deny} protocol source source-wildcard 

[operator [port]] destination destination-wildcard [operator [ port]] [established] [fragment| 

log| time-range time-name] 

首先 ,在 Cisco 设备 上 默认 防火 墙 功能 处 于 启动 状态 ,因此 在 配置 ACL 之 前 不 需要 
用 专门 的 命令 来 启动 防火 墙 功能 ; 其 次 ,在 Cisco 设备 上 ACL 的 配置 是 在 全 局 配置 模 
下 进行 的 ,通过 参数 access-list-number 来 判断 多 个 ACL 语句 是 否 属于 同一 个 ACL 。 

(2) 将 ACL 应 用 到 特定 接口 的 特定 方向 上 。 


Router(config-if) # ip access-group access list-number {in|out} 
在 Cisco 设备 上 也 可 以 使 用 命名 ACL 来 配置 扩展 ACL, 配 置 命 令 如 下 。 


Router(config) # ip access-list extended name 
Router( config-ext-nacl) # {permit | deny} protocol source source-wildcard [operator [port]] 
destination destination-wildcard [operator [ port]] [established] [fragment|log| time-range time- 


name] 


在 这 里 依然 使 用 图 2-4 所 示 的 网 络 拓扑 ,要 求 使 用 扩展 ACL 实现 相同 的 流量 控制 ， 


具体 的 配置 命令 如 下 。 


RTA(config) # ip access-list extended abc 

RTA(config-ext-nacl) # deny ip 10.1.1.0 0.0.0.255 13.1.1.0 0.0.0.255 
RTA(config-ext-nacl) # permit ip any any 

RTA(config-ext-nacl) # exit 

RTA(config) # interface FastEthernet 0/0 

RTA(config-if) # ip access-group abc in 


此 时 在 PC, 上 使 用 ping 命令 进行 测试 会 发 现 PC 无 法 访问 PC; ,但 可 以 访问 PC;， 


从 而 证 明了 该 扩展 ACL 应 用 正确 。 


2. 


4.2 高 级 ACL 的 典型 应 用 
高 级 ACL 的 典型 应 用 是 在 一 个 局 域 网 络 的 出 口 路 由 器 上 。 为 确保 内 部 网 络 的 安 


全 ,往往 需要 在 出 口 路 由 器 与 外 部 网 络 连接 接口 的 inbound 方向 上 应 用 高 级 ACL, 以 实 
现 对 外 部 网 络 的 恶意 流量 进行 过 滤 的 目的 。 


假设 存在 如 图 2-5 所 示 的 网 络 。 
SWA RTA 


192.168.3.0/30 ES 192.168.4.1/24 
“yd 外 网 
El/024 E00 El 


E1/0/2 


E1/0/1 


PC PC 
192.168.1.2/24 192.168.2.2/24 


2-5 高 级 ACL 的 典型 应 用 
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其 中 ,要 求 内 部 网 络 可 以 随意 访问 外 部 网 络 ,而 外 部 网 络 访问 内 部 网 络 受到 以 下 
限制 。 

(1) 外 部 网 络 可 以 访问 内 网 主机 192. 168. 1. 2 上 的 HTTP 服务 。 

(2) 禁止 外 部 网 络 访问 其 他 任何 关于 内 网 基于 TCP 的 服务 。 

(3) 禁止 外 部 网 络 主动 ping 内 部 网 络 主机 。 

(4) 允许 其 他 类 型 的 访问 。 

现 对 任务 分 析 如 下 。 

(1) 在 应 用 位 置 上 ,出 于 保护 内 部 网 络 安全 的 考虑 ,一 般 都 会 将 ACL 应 用 在 出 口 路 
由 器 与 外 部 网 络 连 接 接口 的 inbound 方向 上 , 即 路 由 器 RTA E0/1 接口 的 inbound 方 
向 上 。 

(2) 对 于 第 二 条 限制 要 求 “ 禁 止 外 部 网 络 访问 其 他 任何 关于 内 网 基于 TCP 的 服务 ” 
实际 上 可 以 分 解 为 两 条 : 首先 允许 内 部 网 络 访问 外 部 网 络 的 响应 流量 , 即 只 允许 ACK 或 
者 RST 标志 位 被 置 位 的 TCP 流量 进入 内 部 网 络 ; 然后 拒绝 其 他 所 有 来 自 于 外 部 网 络 的 
TCP 流量 。 

(3) 按照 约束 性 的 强 弱 ,第 一 条 限制 要 求 产生 的 规则 一 定 排 在 第 二 条 限制 要 求 产 生 
的 规则 之 前 ,否则 会 导致 访问 控制 的 错误 ; 但 是 第 三 条 限制 要 求 产 生 的 规则 可 以 放置 在 
第 一 条 限制 要 求 产 生 的 规则 之 前 ,也 可 以 放置 在 第 二 条 限制 要 求 产 生 的 规则 之 后 ,因为 
ICMP 协议 和 TCP 协议 之 问 没有 任何 约束 性 关系 。 

(4) 第 四 条 限制 要 求实 际 上 是 要 求 显 式 地 写 出 默认 规则 ,以 保证 ACL 的 可 移植 性 和 
健壮 性 。 

H3C 设备 上 具体 的 配置 命令 如 下 。 

[RTA |firewall enable 

[RTA]acl number 3000 

[RTA-acl-adv-3000]rule permit tcp destination 192.168.1.2 0 destination-port eq 80 
[RTA-acl-adv-3000]rule permit tcp established 

[RTA-acl-adv-3000]rule deny tcp 

[RTA-acl-adv-3000]rule deny icmp icmp-type echo 

[RTA-acl-adv-3000]rule permit ip 

[RTA-acl-adv-3000]quit 

[RTA|interface Ethernet 0/1 

[RTA-Ethernet0/1|firewall packet-filter 3000 inbound 


Cisco 设备 上 具体 的 配置 命令 如 下 。 


RTA(config) # ip access-list extended abc 
RTA(config-ext-nacl) # permit tcp any host 192.168.1.2 eq 80 
RTA(config-ext-nacl) # permit tcp any any established 
RTA(config-ext-nacl) # deny tcp any any 
RTA(config-ext-nacl) # deny icmp any any echo 
RTA(config-ext-nacl) # permit ip any any 
RTA(config-ext-nacl) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # ip access-group abc in 
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配置 完成 后 ,可 以 通过 ping 命令 和 IE 浏览 器 对 结果 进行 测试 ,并 使 用 命令 display 


acl all 或 者 show access-lists 查看 具体 的 规则 匹配 情况 。 
2.4.3 高 级 ACL 控制 FTP 流量 的 应 用 


在 2.4.2 小 节 的 例子 中 ,只 是 允许 外 部 网 络 可 以 访问 内 网 主机 192. 168. 1. 2 上 的 


HTTP 服务 ,假设 内 网 主机 192. 168. 1. 2 还 需要 向 外 部 网 络 提供 FTP 服务 , 则 需要 在 
ACL 中 增加 相应 的 规则 。H3C 设备 上 的 配置 具体 如 下 。 


[RTA]acl number 3000 
[RTA-acl-adv-3000]rule 2 permit tcp destination 192.168.1.2 0 destination-port eq 21 
[RTA-acl-adv-3000]rule 3 permit tcp destination 192.168.1.2 0 destination-port eq 20 


需要 注意 的 是 ,按照 约束 性 的 强 弱 , 新 增加 的 两 条 规则 需要 放置 在 原 第 二 条 规则 之 


。 增 加 规则 后 ,ACL 3000 的 具体 配置 如 下 。 


[RTA-acl-adv-3000] display this 

# 

acl number 3000 
rule 0 permit tcp destination 192.168.1.2 0 destination-port eq www 
rule 2 permit tcp destination 192.168.1.2 0 destination-port eq ftp 
rule 3 permit tcp destination 192.168.1.2 0 destination-port eq ftp-data 
rule 5 permit tcp established 
rule 10 deny tcp 
rule 15 deny icmp icmp-type echo 
rule 20 permit ip 

# 


return 


Cisco 设备 上 的 配置 与 H3C 设备 的 配置 类 似 ,区 别 在 于 在 Cisco 设备 上 需要 首先 将 


后 4 条 规则 删除 掉 , 然 后 再 配置 允许 FTP 的 规则 ,并 重新 配置 后 4 条 规则 ,具体 在 此 不 再 
歼 述 。 


配置 完成 后 ,按照 正常 推理 ,在 外 部 网 络 主机 上 应 该 可 以 连接 内 网 主机 192. 168. 1. 2 


上 的 FTP 服务 ,但 是 实际 情况 是 根本 无 法 连接 。 在 路 由 器 RTA 上 使 用 display acl 3000 
命令 查看 ACL 3000 的 报 文 匹 配 情况 如 下 。 


[RTA]display acl 3000 
Advanced ACL 3000, named -none-, 7 rules 
ACL's step is 5 
rule 0 permit tcp destination 192.168.1.2 0 destination-port eq www (2 times matched) 
rule 2 permit tcp destination 192.168.1.2 0 destination-port eq ftp (12 times matched) 
rule 3 permit tcp destination 192.168.1.2 0 destination-port eq ftp-data 
rule 5 permit tcp established (5 times matched) 
rule 10 deny tcp (12 times matched) 
rule 15 deny icmp icmp-type echo (1 times matched) 
rule 20 permit ip (22 times matched) 


从 上 面 显示 的 结果 可 以 看 出 ,第 3 条 规则 没有 匹配 任何 流量 ,也 就 是 说 外 部 网 络 主机 


与 内 网 主机 192. 168. 1.2 上 的 FTP 数据 端口 (TCP 的 20 端口 ) 之 间 没 有 进行 任何 数据 
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传输 。 之 所 以 会 出 现 这 样 的 情况 ,实际 上 和 FTP 的 工作 模式 有 关 。 按 照 连 接 模式 的 差 
异 , 可 以 将 FTP 分 为 主动 模式 和 被 动 模式 两 种 。 


1. 主动 模式 

主动 模式 (Port Mode) 是 FTP 的 传统 连接 模式 ,FTP 在 主动 模式 下 的 连接 过 程 
如 下 。 

(1) FTP 客户 端 开启 一 个 大 于 1024 的 随机 端口 N 连接 到 FTP 服务 器 的 命令 端口 
2 
(2) FTP 客户 端 开 始 监听 自己 的 N 十 1 端口 ,并 向 FTP 服务 器 的 命令 端口 发 
送 “PORT N 十 1 命令 来 通知 FTP 服务 器 自己 已 经 在 端口 N 十 1 上 做 好 了 接收 数据 的 
准备 。 

(3) FTP 服务 器 接收 到 命令 后 ,打开 其 20 端口 作为 数据 端口 与 FTP 客户 端的 N 十 1 
端口 建立 连接 ,进行 数据 传输 。 

可 见 在 主动 模式 中 ,数据 连接 是 由 FTP 服务 器 主动 发 起 的 ,FTP 服务 器 端的 数据 端 
口 为 20 端口 。 


2. 被 动 模式 

被 动 模式 (Passive Mode) 出 现 相 对 较 晚 ,由 于 主动 模式 需要 FTP 客户 端 主机 打开 
一 个 数据 端口 进行 监听 ,而 这 个 端口 很 有 可 能 会 被 本 机 的 一 些 安全 策略 (如 本 机 的 软 
件 防 火 墙 ) 阻 塞 掉 ,因此 开发 了 FTP 的 被 动 连接 模式 。FTP 在 被 动 模式 下 的 连接 过 程 
如 下 。 

(1) FTP 客户 端 开启 一 个 大 于 1024 的 随机 端口 N 连接 到 FTP 服务 器 的 命令 端口 
2 

(2) FTP 客户 端 开启 自己 的 N 十 1 端口 ,并 向 FTP 服务 器 的 命令 端口 发 送 PASV 命 
令 来 通知 FTP 服务 器 自己 工作 在 被 动 模式 。 

(3) FTP 服务 器 接收 到 命令 后 ,会 开启 一 个 大 于 1024 的 随机 端口 X 进行 监听 ,并 向 
FTP 客户 端的 命令 端口 发 送 “PORT X” 命 令 来 通知 FTP 客户 端 自己 已 经 在 端口 X 上 做 
好 接收 数据 的 准备 。 

(4) FTP 客户 端 接收 到 命令 后 ,通过 自己 的 N 十 1 号 端口 与 FTP 服务 器 的 数据 端口 
X 建立 连接 ,进行 数据 的 传输 。 

可 见 在 被 动 模式 中 ,数据 连接 是 由 FTP 客户 端 主 动 发 起 的 ,FTP 服务 器 端的 数据 端 
口 为 大 于 1024 的 随机 端口 ,而 不 是 20 端口 。 在 默认 情况 下 ,IE 以 及 常见 的 一 些 FTP 客 
户 端 工具 都 使 用 被 动 模式 进行 连接 。 

正 是 因为 FTP 客户 端的 IE 工作 在 被 动 模式 ,因此 在 建立 数据 连接 的 时 候 FTP 客户 
端 会 主动 向 FTP 服务 器 的 数据 端口 X 发 起 连接 请 求 , 而 这 些 请 求 都 会 因为 匹配 了 规则 
rule deny tcp 而 被 拒绝 ,从 而 导致 外 部 网 络 主机 上 无 法 连接 内 网 主机 192. 168. 1.2 上 的 
FTP 服务 。 解 决 的 方法 就 是 采用 主动 模式 进行 FTP 连接。 具体 的 操作 方法 是 在 IE 的 
菜单 栏 中 选择 “工具 ”>“Internet 选项 ”>“ 高 级 ”, 然 后 找到 “使 用 被 动 FTP( 用 于 防火 墙 
和 DSL 调制 解 调 器 的 兼容 )" 复 选 框 ,取消 选中 即 可 ,如 图 2-6 所 示 。 


29) 


口 使 用 ctrl+Tab 切 热 选项 卡 时 ， 使 用 最 新 顺序 


使 用 “兼容 性 视图 ”自动 恢复 页 面 
口 使 用 被 动 FTF (用 于 防火 墙 和 DSL 调制 解 凋 器 的 兼容 ， 


口 使用 让 接 桥 入 自动 完成 功能 三 Internet Explorer 之 : 
回 下 载 完成 后 发 出 通知 
显示 每 个 | 


图 2-6 设置 FTP 为 主动 模式 


设置 完成 后 ,在 外 部 网 络 主机 上 使 用 IE 即 可 连接 到 内 网 主机 192. 168. 1. 2 上 的 
FTP 服务 。 此 时 ,在 路 由 器 RTA 上 再 次 使 用 display acl 3000 命令 查看 ACL 3000 的 报 
文 匹配 情况 如 下 。 

[RTA]display acl 3000 

Advanced ACL 3000, named -none-, 7 rules 

ACL's step is 5 

rule 0 permit tcp destination 192.168.1.2 0 destination-port eq www (2 times matched) 
rule 2 permit tcp destination 192.168.1.2 0 destination-port eq ftp (26 times matched) 
rule 3 permit tcp destination 192.168.1.2 0 destination-port eq ftp-data (4 times matched) 
rule 5 permit tcp established (5 times matched) 

rule 10 deny tcp (25 times matched) 

rule 15 deny icmp icmp-type echo (1 times matched) 

rule 20 permit ip (79 times matched) 


从 上 面 显示 的 结果 可 以 看 出 ,第 3 条 规则 有 相 匹 配 的 流量 ,这 也 说 明 在 主动 模式 下 
FTP 服务 器 端的 数据 端口 为 20 端口 。 

关于 主动 模式 和 被 动 模式 熟 优 熟 劣 并 没有 定论 ,显然 主动 模式 有 利于 FTP 服务 器 端 
的 安全 ,但 对 FTP 客户 端的 安全 不 利 ,因为 需要 FTP 客户 端 开启 某 个 高 位 端口 进行 监 
听 ; 而 被 动 模式 有 利于 FTP 客户 端的 安全 ,但 对 FTP 服务 器 端的 安全 不 利 ,因为 需要 
FTP 服务 器 端 开 启 某 个 高 位 端口 进行 监听 。 具 体 采用 哪 种 连接 模式 ,还 是 要 根据 具体 的 
网 络 应 用 和 网 络 安全 的 需求 来 决定 。 

另外 ,高 级 ACL 也 可 以 应 用 在 虚拟 终端 连接 (Virtual Type Terminal,VTY) 上 ,应 
用 命令 与 基本 ACL 在 VTY 上 的 应 用 相同 ,在 此 不 再 进行 介绍 。 
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2.5 ”定时 访问 控制 列表 


首先 需要 说 明 的 是 ,定时 ACL 并 不 是 一 种 单独 的 ACL 类 别 , 在 基础 ACL 和 高 级 
ACL 中 均 可 以 通过 引用 时 间 段 来 组 成 定时 访问 控制 列表 。 创 建 定时 访问 控制 列表 实际 
上 分 为 两 个 步骤 : 首先 定义 一 个 时 间 段 ; 然后 在 ACL 的 规则 中 引用 相应 的 时 间 段 。 

在 H3C 设备 上 定义 时 间 段 的 命令 如 下 。 

[H3C] time-range time-range-name { start-time to end-time days [ from timel datel ] [ to time2 

date2 ] | from timel datel [ to time2 date2 ] | to time2 date2 } 

通过 定义 时 间 段 的 命令 实际 上 可 以 定义 两 种 不 同类 型 的 时 间 段 : 周期 时 间 段 和 绝对 
时 间 段 。 周 期 时 间 段 是 以 星期 为 单位 进行 循环 ; 而 绝对 时 间 段 是 指 某 一 段 具体 的 日 期 。 

其 中 命令 中 涉及 的 参数 解释 如 下 。 

time-range-name : 时 间 段 的 名 称 , 要 求 最 大 为 32 个 字符 。 每 一 个 时 间 段 由 唯一 的 名 
称 来 标识 。 

start-time to end-time days: 本 部 分 参数 用 来 定义 周期 时 间 段 。 其 中 ,starttime 和 
end-time 分 别 用 来 定义 该 时 间 段 的 起 始 时 间 和 结束 时 间 ,时间 格式 为 hh:mm; days 用 来 
定义 该 时 间 段 在 星期 几 生 效 。days 参数 的 具体 取 值 及 其 含义 如 表 2-4 所 示 。 


表 2-4 days 参数 的 取 值 及 含义 


取 值 会 义 取 值 会 党 
Mon 星期 一 Tue 星期 二 
Wed 星期 三 Thu 星期 四 
Fri 星期 五 Sat 星期 六 
Sun 星期 日 daily 每 周 的 任何 一 天 
working-day 星期 一 至 星期 五 off-day 星期 六 和 星期 日 
<0-6> 0 代表 星期 日 ,1-6 分 别 代表 星期 一 到 星期 六 


timel datel: 定义 绝对 时 间 段 的 起 始 时 间 和 起 始 日 期 。timel 为 起 始 时 间 ,格式 为 
hh:mm; datel 为 起 始 日 期 ,格式 为 MM/DD/YYYY( 月 /日 /年 ) 或 者 YYYY/MM/DD 
(年 /月 /日 )。 

time2 date2: 定义 绝对 时 间 段 的 结束 时 间 和 结束 日 期 。 格 式 要 求 与 起 始 时 间 和 起 始 
日 期 相同 。 

在 Cisco 设备 上 定义 时 间 段 的 命令 如 下 。 

Router (config) # time-range time-range-name 

Router(config-time-range) # absolute [start timel datel] [end time2 date2] 

Router (config-time-range) # periodic days start-time to end-time 

其 中 ,absolute 用 来 定义 绝对 时 间 段 ,而 periodic 用 来 定义 相对 时 间 段 。 在 指定 相对 
时 间 段 时 ,参数 days 的 取 值 与 H3C 设备 上 类 似 ,区 别 在 于 Cisco 设备 上 的 某 一 天 使 用 其 
英文 的 全 称 ,例如 星期 一 为 Monday, 工 作 日 使 用 weekdays 表示 ,休息 日 使 用 weekend 


< 
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表示 。 
在 定义 时 间 段 时 需要 注意 以 下 两 个 问题 。 
(1) 在 同一 个 时 间 段 名 字 下 可 以 配置 多 个 时 间 段 。 在 同一 个 时 间 段 名 字 下 配置 的 多 
个 周期 时 间 段 之 间 是 “或 ”的 关系 ; 多 个 绝对 时 间 段 之 间 是 “或 "的 关系 ; 而 周期 时 间 段 和 
绝对 时 间 段 之 间 是 “与 的 关系 。 

(2) 在 配置 绝对 时 间 段 时 ,如 果 不 配 置 开 始 日 期 ,时 间 段 就 是 从 系统 可 表示 的 最 早 
时 间 ( 即 1970 年 1 月 1 日 0 点 0 分 ) 起 到 结束 日 期 为 止 ; 如 果 不 配 置 结束 日 期 ,时 间 段 就 
是 从 配置 生效 之 日 起 到 系统 可 以 表示 的 最 晚 时 间 ( 即 2100 年 12 月 31 日 24 点 0 分 ) 
为 止 。 

假设 在 H3C 设备 上 定义 一 个 时 间 段 为 每 周 工作 日 的 8:00 到 18:00, 则 配置 命令 为 。 


[H3C]time-range work 8:00 to 18:00 working-day 
配置 完成 后 ,通过 display time-range all 命令 查看 所 定义 的 时 间 段 情况 如 下 。 


[H3C]display time-range all 
Current time is 16:58:23 11/4/2011 Friday 


Time-range : work (Active ) 
08:00 to 18:00 working-day 


从 显示 的 结果 可 以 看 出 ,定义 了 一 个 名 字 为 work 时 间 段 ,并 且 该 时 间 段 处 于 激活 状 
态 , 即 当前 系统 时 间 处 于 定义 的 时 间 段 之 内 。 

在 此 依然 使 用 图 2-5 所 示 的 网 络 , 其 中 内 部 网 络 可 以 随意 访问 外 部 网 络 ,而 外 部 网 络 
访问 内 部 网 络 受到 的 限制 变更 为 以 下 要 求 。 

(1) 外 部 网 络 仅 在 星期 六 和 星期 日 的 8:00 一 12:00 之 间 可 以 访问 内 网 主机 192. 168. 
1.2 上 的 HTTP 服务 。 

(2) 禁止 外 部 网 络 访问 其 他 任何 关于 内 网 的 基于 TCP 的 服务 。 

(3) 禁止 外 部 网 络 在 主动 ping 内 部 网 络 主机 。 

(4) 允许 其 他 类 型 的 访问 。 

则 H3C 设备 上 具体 的 配置 命令 如 下 。 


[RTA |firewall enable 

[RTA|time-range visit 8:00 to 12:00 off-day 
[RTA]acl number 3000 

[RTA-acl-adv-3000] rule permit tcp destination 192.168.1.2 0 destination-port eq 80 time-range visit 
[RTA-acl-adv-3000]rule permit tcp established 
[RTA-acl-adv-3000]rule deny tcp 
[RTA-acl-adv-3000]rule deny icmp icmp-type echo 
[RTA-acl-adv-3000]rule permit ip 
[RTA-acl-adv-3000]quit 

[RTA|interface Ethernet 0/1 
[RTA-Ethernet0/1]firewall packet-filter 3000 inbound 


配置 完成 后 ,在 路 由 器 RTA 上 执行 display acl 3000 显示 结果 如 下 。 
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[RTA]display acl all 
Advanced ACL 3000, named -none-, 5 rules, 
ACL's step is 5 
rule 0 permit tcp destination 192.168.1.2 0 destination-port eq www time-range visit (Inactive) 
rule 5 permit tcp established 
rule 10 deny tcp 
rule 15 deny icmp icmp-type echo 
rule 20 permit ip 
从 显示 的 结果 可 以 看 出 ,当前 时 间 段 visit 处 于 非 激活 状态 ,此 时 进行 测试 会 发 现 外 
部 网 络 主机 无 法 访问 内 网 主机 192. 168. 1. 2 上 的 HTTP 服务 。 这 是 因为 当前 路 由 器 的 
系统 时 间 并 没有 处 于 时 间 段 visit 之 内 ,此 时 的 访问 请 求 无 法 匹配 第 1 条 规则 ,而 是 匹配 
了 规则 deny tcp 而 被 拒绝 。 
可 以 通过 在 用 户 视图 下 使 用 clock datetime 修改 当前 的 系统 时 间 , 使 其 处 于 时 间 段 
visit 之 内 。 具 体 如 下 : 


<RTA> clock datetime 10:00 2011/11/5 


修改 完成 后 ,时 间 段 visit 将 处 于 激活 状态 ,此 时 进行 测试 会 发 现 外 部 网 络 主机 可 以 
访问 内 网 主机 192. 168. 1.2 上 的 HTTP 服务 ,说 明定 时 ACL 配置 正确 。 

需要 注意 的 是 ,在 配置 了 定时 ACL 后 往往 需要 对 系统 时 间 进行 修改 以 测试 定时 
ACL 的 执行 效果 。 但 是 在 测试 完成 后 ,一定 要 将 系统 时 间 修 改 回 准确 的 时 间 , 以 避免 在 
网 络 运 行 的 过 程 中 出 现 访 问 控制 的 错误 。 


2.6 H3C 基于 应 用 层 的 包 过 滤 技 术 


传统 的 以 ACL 为 核心 的 包 过 滤 属于 静态 包 过 滤 技 术 , 它 只 能 根据 数据 报 文中 的 特 
定 信息 如 协议 类 型 IP 地 址 .端口 号 以 及 一 些 标志 位 来 过 滤 流 量 ,并 不 能 检测 和 记录 通信 
过 程 和 连接 状态 ,因此 在 实际 网 络 应 用 中 会 存在 以 下 4 个 问题 。 

(1) 静态 包 过 滤 技 术 虽 然 可 以 根据 端口 号 来 识别 特定 的 应 用 层 服务 ,但 是 它 无 法 理 
解 特定 服务 的 上 下 文 会 话 , 因 此 对 于 多 通道 的 应 用 层 协议 ,会 因为 无 法 预知 后 续 动 态 协 商 
的 数据 通道 信息 而 无 法 为 其 制定 完善 的 安全 过 滤 策 略 。 例 如 ,对 于 FTP 协议 ,如 果 内 部 
网 络 的 FTP 客户 端 使 用 主动 模式 访问 外 部 网 络 的 FTP 服务 器 ,由 于 无 法 提前 预知 FTP 
客户 端 进行 监听 的 数据 端口 号 ,因而 无 法 为 其 定义 相应 的 ACL 规则 ,导致 无 法 建立 FTP 
的 数据 连接 。 

(2) 无 法 检测 来 自 于 应 用 层 的 攻击 行为 。 由 于 静态 包 过 滤 技 术 并 不 对 报 文 的 应 用 层 
内 容 进行 解析 和 检测 ,因此 无 法 对 一 些 来 自 于 应 用 层 的 威胁 进行 防范 。 例 如 ,无 法 防范 来 
自 不 可 信和 网 站 的 Java Applet 或 Active X 插件 对 内 部 主机 的 破坏 。 

(3) 无 法 检测 恶意 的 TCP 响应 报 文 和 基于 UDP 报 文 的 攻击 。 虽 然 静 态 包 过 滤 技 术 
可 以 使 用 established 关键 字 来 防范 外 部 网 络 的 主动 TCP 请 求 , 但 是 无 法 对 伪装 成 TCP 
响应 报 文 的 攻击 流量 进行 防范 ; 由 于 UDP 协议 是 一 种 无 连接 协议 ,静态 包 过 滤 技 术 同 样 
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无 法 对 其 攻击 流量 进行 防范 。 

(4) 缺乏 有 效 的 日 志 功能 。 静 态 包 过 滤 技 术 仅 对 静态 的 报 文 特征 信息 进行 过 滤 和 输 
出 日 志 记 录 ,不 能 对 整个 应 用 连接 输出 日 志 记录 ,因此 无 法 实现 对 于 应 用 连接 的 跟踪 。 

为 解决 以 ACL 为 核心 的 静态 包 过 滤 技 术 存在 的 问题 和 不 足 , 引 入 基于 应 用 层 的 包 
过 滤 技 术 (Application Specific Packet Filter, ASPF)。 与 静态 包 过 滤 技 术 相 比 ASPF 具 
有 以 下 优点 。 

(1) 支持 传输 层 协 议 检 测 ( 通 用 TCP/UDP 检测 ) 和 ICMP、RAWIP 协议 检测 。 

(2) 支持 对 应 用 层 协 议 的 解析 和 连接 状态 的 检测 ,这 样 每 一 个 应 用 连接 的 状态 信息 
都 将 被 ASPF 维护 并 用 于 动态 地 决定 数据 包 是 否 被 允许 通过 防火 墙 或 丢弃 。 

(3) 支持 应 用 协议 端口 映射 (Port to Application Map,PAM) ,允许 用 户 自 定义 应 用 
层 协议 使 用 非 通用 端口 。 

(4) 支持 Java 阻 断 和 ActiveX 阻 断 功能 ,分 别 用 于 实现 对 来 自 于 不 信任 站 点 的 Java 
Applet 和 ActiveX 的 过 滤 。 

(5) 支持 ICMP 差错 报 文 检测 ,可 以 根据 ICMP 差错 报 文中 携带 的 连接 信息 ,决定 是 
否 丢弃 该 ICMP 报 文 。 

(6) 支持 TCP 连接 首 包 检测 ,通过 检测 TCP 连接 的 首 报 文 是 否 为 SYN 报 文 ,决定 
是 否 丢 弃 该 报 文 。 

(7) 提供 了 增强 的 会 话 日 志和 调试 跟踪 功能 ,可 以 对 所 有 的 连接 进行 记录 ,可 以 针对 
不 同 的 应 用 协议 实现 对 连接 状态 的 跟踪 与 调试 。 

可 见 ,ASPF 技术 不 仅 能 弥补 静态 包 过 滤 技 术 在 应 用 中 的 缺陷 ,提供 针对 应 用 层 的 报 
文 过 滤 , 还 具有 多 种 增强 的 安全 特性 ,是 一 种 智能 的 高 级 过 滤 技 术 。 
2.6.1 ASPF 的 工作 原理 

ASPF 工作 的 基本 原理 是 监听 并 记录 应 用 协议 的 交互 过 程 ,并 按照 应 用 协议 的 特定 
需求 动态 创建 访问 控制 列表 ,以 达到 精确 控制 报 文 转发 的 目的 。 在 路 由 器 上 配置 了 
ASPF 之 后 ,基于 ASPF 的 包 过 滤 将 会 对 ASPF 策略 中 定义 的 需要 进行 审查 的 协议 产生 
的 每 一 个 会 话 进行 检测 和 跟踪 ,并 创建 一 个 连接 状态 表 和 一 个 临时 访问 控制 列表 
(Temporary Access Control List,TACL) ,以 允许 该 会 话 的 返回 流量 通过 。 


1. 传输 层 协议 检测 

传输 层 协 议 检测 是 指 对 数据 报 文 的 传输 层 及 以 下 的 信息 ,例如 对 报 文 的 源 IP 地 
址 .目的 IP 地址、 端口 号 .传输 层 状 态 等 进行 的 检测 ,包括 TCP 协议 检测 和 UDP 协议 
检测 。 

(1) TCP 协议 检测 

TCP 协议 检测 是 指 ASPF 检测 TCP 连接 发 起 和 结束 的 状态 转换 过 程 ,包括 连接 发 
起 的 3 次 握手 状态 和 连接 关闭 的 4 次 握手 状态 ,然后 根据 这 些 状态 来 创建 更 新 和 删除 设 
备 上 的 连接 状态 表 。TCP 检测 是 其 他 基于 TCP 的 应 用 协议 检测 的 基础 。 

TCP 协议 检测 的 具体 过 程 : 当 ASPF 检测 到 TCP 连接 发 起 方 的 第 一 个 SYN 报 文 
时 ,开始 建立 该 连接 的 一 个 连接 状态 表 , 用 于 记录 并 维护 此 连接 的 状态 ,并 创建 一 个 临时 
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访问 控制 列表 来 允许 后 续 该 连接 的 相关 报 文 能 够 通过 防火 墙 ,而 其 他 的 非 相关 报 文 则 被 
阻 断 和 丢弃 。 具 体 如 图 2-7 所 示 。 


ASPF 


PC 
1 


PC 发 起 的 到 PC 的 SYN 报 文 


ASPF 建 立 连接 状态 表 
创建 TACL 


PC 发 起 的 到 PC; 的 SYN 报 文 


来 自 其 他 IP 地 址 的 TCP 报 文 


来 自 PC2 响 应 的 非 SYN ACK 报 文 


1 
PC: 响 应 PC 的 SYN ACK 报 文 
1 


1 
PCI 响 应 PC 的 ACK 报 文 
1 


2-7 TCP 协议 检测 过 程 


(2) UDP 协议 检测 

UDP 协议 没有 连接 状态 的 概念 ,ASPF 的 UDP 检测 是 指针 对 UDP 连接 的 IP 地 址 
和 端口 进行 的 检测 。UDP 检测 是 其 他 基于 UDP 应 用 协议 检测 的 基础 。 

UDP 检测 的 具体 过 程 : 当 ASPF 检测 到 UDP 连接 发 起 方 的 第 一 个 数据 报 文 时 ， 
ASPF 开始 维护 此 连接 的 信息 。 当 ASPF 收 到 接收 方 回 送 的 UDP 数据 报时 ,此 连接 才能 
建立 ,其 他 与 此 连接 无 关 的 报 文 则 被 阻 断 和 丢弃 。 


2. 应 用 层 协 议 检 测 

应 用 层 协议 检测 是 ASPF 通过 创建 连接 状态 表 来 跟踪 和 维护 特定 的 应 用 层 协议 产生 
的 连接 某 一 时 刻 所 处 的 状态 信息 ,并 依据 该 连接 的 当前 状态 来 匹配 后 续 的 报 文 。ASPF 
并 不 能 对 所 有 的 应 用 层 协议 提供 检测 支持 ,目前 ASPF 可 以 支持 的 应 用 层 协议 包括 
HTTP、FTP、SMTP、RTSP(CReal Time Streaming Protocol, 实 时 流 协 议 ) 和 H. 323 音 视 频 
协议 等 。 

对 于 单 通 道 应 用 层 协议 ,例如 HTTP、SMTP 等 ,ASPF 的 检测 过 程 相 对 比较 简单 ,在 
发 起 连接 时 建立 连接 状态 表 和 TACL ,连接 删除 时 将 连接 状态 表 和 TACL 删除 即 可 。 而 
对 于 多 通道 应 用 层 协 议 的 检测 就 相对 复杂 一 些 。 在 对 多 通道 应 用 层 协议 进行 检测 时 ， 
ASPF 可 以 对 控制 连接 上 传递 的 协商 建立 数据 通道 的 报 文 进行 解析 和 记录 ,从 中 获得 建 
立 数据 通道 的 端口 信息 ,从 而 创建 相应 的 TACL 来 允许 数据 通道 的 建立 和 数据 的 传输 。 
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ASPF 对 典型 的 多 通道 应 用 层 协 议 一 一 FTP 协议 的 检测 过 程 如 图 2-8 所 示 。 


[ms 国 
PC FTP Server 


PC 向 FTP Server 发 起 FTP 连 接 


1 
控制 通道 建立 ASPF 记 录 该 连接 
1 


PC 发 送 (PORT N+1) 命 令 报 文 ， 要 求 FTP Server 向 端口 N+1 发 起 数据 连接 
1 
ASPF 建 立 TACL 
T 
1 et 站 韭 月 报 避 
必 目的 端口 非 N+1 的 报 文 
1 


数据 通道 建立 ,| 双方 进行 数据 传输 


4 > 


数据 传输 结束 ， 删 除 TACL 


图 2-8 FTP 协议 检测 过 程 


在 图 2-8 中 ,FTP 使 用 主动 模式 进行 连接 。ASPF 可 以 对 FTP 客户 端 发 送 给 FTP 
服务 器 的 建立 数据 连接 命令 “PORT N 十 1” 进 行 解析 ,从 中 获得 FTP 客户 端 监听 的 数据 
端口 为 "N 十 1”, 并 为 之 建立 TACL, 从 而 允许 数据 通道 的 建立 和 数据 的 传输 。 

2.6.2 ASPF 的 配置 和 验证 

ASPF 的 配置 相对 比较 简单 ,同样 需要 启动 防火 墙 功能 ,在 此 不 再 袭 述 。 具 体 配置 涉 
及 的 命令 如 下 。 

(1) 创建 一 个 ASPF 策略 。aspfFpolicy-number 的 取 值 范围 为 1 一 99 。 


[H3C] aspf-policy aspf-policy-number 
(2) 在 ASPF 策略 视图 下 配置 基于 传输 层 协 议和 应 用 层 协 议 的 审查 规则 。 
[H3C-aspf-policy-1] detect protocol [ java-blocking aci-number ] [ aging-time seconds] 


其 中 各 个 参数 的 解释 如 下 。 

protocol: 定义 审查 的 协议 类 型 ,可 以 选取 HTTP、FTP、SMTP、RTSP、H323、TCP 
和 UDP 协议 。 

java-blocking acl-number : 配置 Java 阻 断 功 能 ,其 中 ,aci-number 是 标识 可 信任 的 与 
不 可 信任 的 主机 或 网 段 的 基本 ACL 编号 。 当 ASPF 配置 了 支持 Java 阻 断 功 能 的 HTTP 
协议 检测 时 , 受 保护 网 络 内 的 用 户 如 果 试 图 通过 Web 页 面 访问 不 可 信 站 点 , 则 Web 页 面 
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中 为 获取 包含 Java Applet 程序 而 发 送 的 请 求 指令 将 会 被 ASPF 阻 断 。 

aging-time seconds: 设置 TACL 的 超时 时 间 。 默 认 情 况 下 应 用 层 协议 和 TCP 协议 
的 超时 时 间 均 为 3600s; UDP 协议 的 超时 时 间 为 30s。 

(3) 将 ASPF 应 用 到 特定 接口 的 特定 方向 上 。 


[H3C-Ethernet0/0]firewall aspf aspf-policy-number { inbound | outbound } 


虽然 ASPF 可 以 应 用 在 inbound 和 outbound 两 个 方向 上 ,但 实际 上 ASPF 一 般 都 会 
应 用 在 出 口 路 由 器 与 外 部 网 络 连 接 接口 的 outbound 方向 上 ,用 于 对 内 部 网 络 访问 外 部 网 
络 的 流量 进行 审查 。 而 且 要 求 在 该 接口 的 inbound 方向 上 应 用 一 个 ACL, 用 来 承载 
ASPF 产生 的 TACL。ASPF 产生 的 TACL 规则 总 是 放置 在 其 承载 ACL 的 静态 规则 之 
前 。 实 际 上 ,如 果 在 出 口 路 由 器 与 外 部 网 络 连 接 接口 的 inbound 方向 上 没有 应 用 ACL， 
则 外 部 网 络 可 以 随意 访问 内 部 网 络 , 也 就 没有 对 内 部 网 络 访问 外 部 网 络 的 流量 进行 审查 
的 必要 。 

在 此 依然 使 用 图 2-5 所 示 的 网 络 , 要 求 允 许 内 部 网 络 的 主机 访问 外 部 网 络 的 FTP 和 
HTTP 服务 ,但 是 禁止 其 他 的 访问 。 具 体 的 配置 命令 如 下 : 
[RTA firewall enable 
[RTA]aspf-policy 1 
[RTA-aspf-policy-1] detect ftp 
[RTA-aspf-policy-1] detect http 
[RTA-aspf-policy-1] quit 
[RTA]acl number 3000 
[RTA-acl-adv-3000]rule deny ip 
[RTA-acl-adv-3000] quit 
[RTA|interface Ethernet 0/1 
[RTA-Ethernet0/1]firewall aspf 1 outbound 
[RTA-Ethernet0/1|firewall packet-filter 3000 inbound 

这 里 需要 注意 ,虽然 FTP 协议 和 HTTP 协议 在 传输 层 同样 由 TCP 协议 承载 ,但 是 
并 不 能 使 用 detect tcp 命令 来 代替 detect ftp 和 detect http 命令 。 因 为 对 于 像 FTP 这 样 
的 多 通道 应 用 层 协 议 ,在 不 配置 应 用 层 检 测 而 直接 配置 TCP 检测 的 情况 下 ,会 导致 数据 
连接 无 法 建立 (实际 上 在 这 个 例子 中 如 果 FTP 使 用 主动 模式 连接 会 导致 数据 连接 无 法 建 
立 ,而 如 果 FTP 使 用 被 动 模式 则 没有 影响 ) 。 

配置 完成 后 ,在 路 由 器 RTA 上 使 用 命令 display aspf all 查看 ASPF 的 策略 信息 
如 下 : 

[RTA]display aspf all 

[ASPF Policy Configuration] 

Policy Number 1: 


Log: disable 
SYN timeout: 30s 
FIN timeout: 5s 
TCP timeout: 3600s 


UDP timeout: 30s 
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Detect Protocols: 

HTTP timeout 3600s 

FTP timeout 3600s 


[Interface Configuration] 
Interface InboundPolicy OutboundPolicy 


Ethernet0/1 none 1 


从 显示 的 结果 可 以 看 出 ,在 路 由 器 RTA 上 配置 了 一 个 ASPF 策略 ,策略 编号 为 1 ,该 
策略 对 HTTP 协议 和 FTP 协议 进行 审查 , HTTP 协议 和 FTP 协议 的 超时 时 间 均 为 
3600s。 策 略 被 应 用 在 了 接口 Ethernet 0/1 的 outbound 方向 上 。 

此 时 ,外 部 网 络 主机 将 无 法 访问 内 部 网 络 的 任何 服务 ,但 在 内 网 主机 PC, 或 PC, 上 
连接 外 部 网 络 中 主机 192. 168. 4. 2 上 的 FTP 服务 和 HTTP 服务 ,可 以 连接 。 在 路 由 器 
RTA 上 使 用 命令 display aspf session 查看 ASPF 的 会 话 信息 如 下 ， 


[RTA]display aspf session 


There are 3 ASPF sessions: 
[Established Sessions] 


Session Initiator Responder Application Status 
7F55090 192.168.1.2:3859 192.168.4.2:21 FIP FTP_CONXN_UP 
7F571B0 192.168.1.2:3985 192.168.4.2:80 HTTP TCP_READY 


[Terminating Sessions] 
Session Initiator Responder Application Status 


7F573F0 192.168.1.2:3988 192.168.4.2:3996 FTP-data TCP_CLOSING 


从 显示 的 结果 可 以 看 出 ,ASPF 在 内 部 网 络 主机 192. 168. 1. 2 和 外 部 网 络 主机 192. 
168. 4. 2 之 间 建 立 了 基于 FTP 协议 和 HTTP 协议 的 会 话 。 
在 用 户 视图 下 使 用 命令 reset aspf session 可 以 清除 ASPF 的 会 话 信 息 。 


2.7 Cisco 反射 ACL 技术 


2.7.1 反射 ACL 简介 

扩展 ACL 是 无 状态 的 ACL, 配 置 了 扩展 ACL 的 网 络 设备 只 是 根据 数据 报 文 中 的 标 
志 、 类 型 等 过 滤 流 量 , 并 不 记录 通信 过 程 ,因此 不 能 用 于 防范 恶意 用 户 利用 各 类 响应 报 文 
或 无 状态 报 文 发 动 的 攻击 。 举 例如 下 。 

(1) 使 用 扩展 ACL 可 以 拒绝 外 网 对 内 网 的 ICMP echo 报 文 ,但 考虑 到 要 允许 内 网 对 
外 网 的 ping 能 够 成 功 ,所 以 需要 允许 外 网 送 到 内 网 的 ICMP echo-reply 流量 。 由 于 扩展 
ACL 只 是 检查 ICMP 报 文 类 型 ,所 以 不 能 用 于 防范 恶意 用 户 使 用 smurf 发 送 大 量 ICMP 
echo-reply 到 内 网 的 攻击 。 
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(2) 扩展 ACL 可 以 通过 established 关键 字 , 只 允许 外 网 的 响应 报 文 进入 内 网 ,但 是 
不 能 用 于 防范 恶意 用 户 发 送 大 量 TCP 响应 报 文 攻击 内 网 。 

(3) UDP 协议 通信 时 没有 建立 连接 的 过 程 ,不 能 使 用 类 似 established 关键 字 的 扩展 
ACL 来 限制 外 网 送 到 内 网 的 UDP 流量 。 恶 意 用 户 可 以 利用 这 一 安全 漏洞 ,使 用 像 
Fraggle 这 样 的 工具 ,向 内 网 发 送 大 量 UDP 报 文 进行 DoS 攻击 。 

反射 ACL 技术 是 一 种 解决 以 上 安全 问题 的 简易 手段 。 

反射 ACL 技术 的 基本 原理 : 来 自 有 效 源 主机 的 流量 会 触发 (反射 ) 一 个 允许 该 连接 
返回 流量 的 临时 ACL ,允许 该 连接 的 返回 流量 进入 网 络 。 

一 旦 反射 ACL 被 产生 , 则 会 自动 启动 一 个 定时 器 ,超时 后 反射 ACL 失效 。 

2.7.2 反射 ACL 配置 方法 

反射 ACL 的 配置 步骤 如 表 2-5 所 示 , 主 要 配置 工作 包括 在 路 由 器 到 外 网 方向 上 定义 
带 有 reflect 关键 字 的 ACL 过 滤 条 目 ,使 之 能 产生 允许 返回 流量 的 ACL, 然 后 在 路 由 器 到 
内 网 方向 上 定义 带 有 evaluate 命令 的 ACL 过 滤 条 目 , 在 入 站 方向 上 指定 反射 ACL 过 滤 
条 目的 正确 位 置 。 

表 2-5 反射 ACL 配置 步骤 


序号 操 作 相关 命令 必要 性 
步骤 1 定义 从 内 网 到 外 网 的 ACL, 并 在 需要 允 ip access-list 是 
许 返 回流 量 的 命令 后 增加 “reflect” permit ...reflect 
定义 从 外 网 到 内 网 的 ACL, 引用 反 ip access-list 
4 射 ACL evaluate ... 和 
步骤 3 en Oe ip access-group 是 
show access-list 可 选 
人 检查 反射 AL 柄 重 show ip interface 可 选 


如 果 要 允许 某 个 permit 命令 定义 的 流量 能 够 产生 反射 ACL, 则 可 以 输入 : 


permit {tcp ...|udp ...) reflect reflectacl-name timeout second 
该 命令 将 为 匹配 的 流量 创建 一 个 指定 名 字 的 反射 ACL 过 滤 条 目 ,以 允许 相应 返回 
的 流量 。 


参数 second 用 于 指定 多 长 时 间 后 该 反射 ACL 失效 ,单位 为 秒 (s), 范 围 为 1 一 
2147483 ,默认 值 为 300。 

配置 外 网 到 内 网 方向 上 的 ACL 中 ,引用 所 定义 反射 ACL 条 目的 操作 为 ,在 该 ACL 
配置 模式 下 输入 : 


evaluate reflectacl-name 


需要 注意 的 是 ,Cisco 网 络 设备 不 会 在 反射 ACL 过 滤 条 目 末尾 隐 含 增加 拒绝 所 有 流 
量 的 语句 。 


39、、 


40 
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为 限制 外 网 主动 向 内 网 发 起 TCP 连接 以 及 向 内 网 主动 发 送 UDP 报 文 的 配置 如 下 所 示 。 


Routerl (config) # ip access-list extended in2out 

Routerl (config-ext-nacl) # permit tcp any any reflect racl-tcp 

Routerl (config-ext-nacl) # permit udp any any reflect racl-udp timeout 30 
Routerl (config-ext-nacl) # permit ip any any 

Routerl (config-if) # exit 

Routerl (config) # ip access-list extended out2in 

Routerl(config-extrnacl) # evaluate racl-tcp 

Routerl (config-ext-nacl) # evaluate racl-udp 

Routerl(config-extrnacl) # deny tcp any any 

Routerl (config-ext-nacl) # deny udp any any 


8@@S@@ OOOe8e 


Routerl (config-ext-nacl) # permit ip any any 
Routerl(config-if) # exit 

Routerl(config) # interface fa0/1 
Routerl(config-if) # ip access-group out2in in 
Routerl(config-if) # ip access-group in2out out 
Routerl(config-if) # end 

Routerl # show ip access-lists 


e@e 


Extended IP access list in2out 
10 permit tcp any any reflect racl-tcp (123 matches) 
20 permit ip any any (19 matches) 
Extended IP access list out2in 
20 evaluate racl-tcp 
30 deny tcp any any (39 matches) 
40 permit ip any any (62 matches) 
Reflexive IP access list racl-tcp 
permit tcp host 200.100.10.2 eq telnet host 10.10.10.2 eq 11002 (45 matches) B 
(time left 296) 


以 上 配置 说 明 如 下 。 
@ 定义 一 个 名 为 “in2out” 的 扩展 ACL, 该 ACL 将 用 于 从 内 网 到 外 网 的 流量 过 滤 。 


根据 安全 需求 ,不 禁止 任何 从 内 网 到 外 网 的 IP 流量 ,但 需要 检查 内 网 到 外 网 的 TCP、 
UDP 流量 ,以 触发 生成 反射 ACL。 


池 


@ 该 过 滤 条 目 用 于 产生 反射 ACL 以 允许 从 外 网 到 内 网 的 TCP 响应 流量 。 

@ 该 过 滤 条 目 用 于 产生 反射 ACL 以 允许 从 外 网 到 内 网 的 UDP 响应 流量 ,为 防范 恶 
户 利用 定时 器 默认 300s 的 间隔 发 动 UDP 攻击 ,因此 将 定时 器 设置 为 30s。 

@ 该 过 滤 条 目 用 于 允许 除 TCP 流量 外 其 他 从 内 网 到 外 网 的 IP 流量 。 

@ 定义 一 个 名 为 “out2in” 的 扩展 ACL, 该 ACL 将 用 于 从 外 网 到 内 网 的 流量 过 滤 。 
@ 在 扩展 ACL “out2in” 中 引用 允许 TCP 响应 流量 的 反射 ACL 条 目 。 

@ 在 扩展 ACL “out2in” 中 引用 允许 UDP 返回 流量 的 反射 ACL 条 目 。 

@ 拒绝 其 他 TCP 流量 。 

@@ 拒绝 其 他 UDP 流量 。 

@ 允许 其 他 I 流量 。 

@ 在 路 由 器 连接 外 网 的 接口 fa0/1 入 站 方向 上 应 用 所 定义 的 *out2in”ACL。 
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@ 在 路 由 器 连接 外 网 的 接口 fa0/1 出 站 方向 上 应 用 所 定义 的 “in2out”ACL。 
@ 在 内 网 10. 10. 10. 2 主机 上 使 用 Telnet 远程 登录 200. 100. 10. 2 所 触发 的 反射 ACL。 


2.8 Cisco 基于 上 下 文 的 访问 控制 技术 


2.8.1 CBAC 简介 

基于 上 下 文 的 访问 控制 (Context-based Access Control,CBAC) 是 Cisco IOS 防火 墙 
安全 特性 集中 的 一 项 特性 , 它 比 反 射 ACL 具有 更 多 的 安全 功能 。 

CBAC 提供 以 下 4 项 功能 。 

(1) 可 以 对 应 用 层 流量 进行 状态 审查 ,如 发 起 连接 的 速率 、TCP 序号 范围 等 。 

(2) 能 够 根据 应 用 层 信息 过 滤 流 量 。 

(3) 通过 进行 流量 审查 等 ,可 以 检测 某 些 类 型 的 DoS 攻击 。 

(4) 能 实时 生成 警告 .审查 跟踪 信息 。 

CBAC 工作 过 程 与 反射 ACL 很 相似 。 如 图 2-9 所 示 ,如 果 在 内 网 到 外 网 的 接口 上 配 
置 CBAC 审查 流出 内 网 的 流量 , 则 当 流 量 通过 审查 时 ,将 触发 建立 一 个 临时 的 从 外 网 到 
内 网 入口 ACL 条 目 ,允许 对 应 该 连接 外 网 到 内 网 的 返回 流量 。 同 时 ,CBAC 利用 一 个 状 
态 表 ,记录 所 监控 (审查 ) 连 接 的 状态 信息 。 在 对 流量 进行 CBAC 审查 时 ,网 络 设备 会 检 
查 状态 表 中 是 否 已 经 存在 该 连接 。 如 果 不 存在 , 则 会 在 状态 表 中 添加 该 连接 相应 的 条 目 ， 
如 果 连 接 已 经 存在 ,就 将 对 应 条 目的 空闲 超时 清 零 。 
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图 2-9 CBAC 审查 与 临时 ACL 条 目 


1. TCP 流量 审查 

CBAC 审查 TCP 流量 时 ,检查 TCP 报 文 头 中 的 控制 位 和 TCP 连接 状态 。 

(1) 如 果 配 置 在 第 1 个 SYN 报 文 之 后 的 30s 内 应 建立 连接 ,而 在 此 时 间 内 连接 没有 
建立 , 则 CBAC 会 从 状态 表 和 ACL 中 删除 由 第 1 个 SYN 报 文 触发 创建 的 条 目 。 

(2) 如 果 检 查 到 1 个 TCP 连接 空闲 超过 1h, 则 Cisco IOS 会 从 状态 表 和 ACL 中 删 
除 对 应 的 条 目 。 

(3) 如 果 检 查 到 TCP 报 文中 有 FIN 标志 , 则 5s 之 后 还 没有 收 到 后 续 响 应 报 文 ， 


~ 


/® 
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Cisco IOS 会 从 状态 表 和 ACL 中 删除 对 应 的 条 目 。 
(4) 如 果 收 到 的 TCP 报 文 头 中 序号 与 所 期 望 范围 不 符 , 则 CBAC 会 丢弃 这 些 数据 报 
文 , 并 会 认为 有 欺骗 或 DoS 发 生 。 


2. UDP 流量 审查 

CBAC 审查 UDP 流量 时 ,与 反射 ACL 处 理 相同 ,都 是 通过 估计 UDP 会 话 的 生命 期 
来 进行 相应 处 理 。 如 果 配 置 一 个 UDP 会 话 空 闲 时 间 应 为 30s, 则 如 果 30s 内 该 会 话 上 没 
有 UDP 流量 通过 , 则 Cisco IOS 会 从 状态 表 和 ACL 中 删除 对 应 的 条 目 。 

另外 对 于 DNS 的 UDP 流量 ,如 果 配 置 CBAC 审查 发 出 的 DNS 请 求 ,并 且 5s 内 应 能 
从 DNS 服务 器 处 获得 DNS 答复 , 则 当 5s 内 没有 收 到 答复 的 情况 下 ,Cisco IOS 会 从 状态 
表 和 ACL 中 删除 对 应 的 DNS 条 目 ; 而 一 旦 在 5s 内 收 到 了 DNS 服务 器 的 答复 , 则 Cisco 
IOS 也 会 立即 从 状态 表 和 ACL 中 删除 对 应 的 DNS 条 目 。 


3. ICMP 流量 审查 

CBAC 对 ICMP 流量 的 审查 只 在 12. 2(11) 版 本 以 后 的 Cisco IOS 中 才 支 持 。 目 前 
CBAC 只 能 审查 几 种 常见 的 ICMP 消息 , 如 echo、 echo-reply、host-unreachable、 
timestamp-request,timestamp-reply 等 。CBAC 审查 ICMP 流量 时 ,如 果 10s 内 没有 相应 
的 ICMP 回应 信息 返回 , 则 从 状态 表 和 ACL 中 删除 对 应 的 连接 条 目 ; 如 果 10s 内 收 到 相 
应 的 ICMP 回应 , 则 检查 这 些 信息 ,只 有 被 支持 的 ICMP 信息 能 够 通过 ,其 他 类 型 的 
ICMP 信息 被 丢弃 。 

4. 附加 连接 处 理 与 NAT 流量 处 理 

(1) 附加 连接 处 理 

以 FTP 连接 为 例 ,FTP 客户 端 在 使 用 端口 1024 与 FTP 服务 器 21 端口 建立 起 FTP 
连接 后 ,如 果 使 用 被 动 模式 下 载 文件 , 则 FTP 客户 端 会 使 用 一 个 新 的 端口 与 FTP 服务 器 
建立 连接 。 反 射 ACL 由 于 无 法 为 该 附加 连接 建立 相应 的 动态 ACL 条 目 ,因此 使 用 反射 
ACL 的 网 络 , 就 只 能 使 用 主动 FTP 模式 的 FTP 服务 。CBAC 可 以 解决 这 一 问题 ,CBAC 
会 审查 FTP 客户 端 与 FTP 服务 器 间 应 用 层 流量 ,然后 根据 FTP 流量 中 的 信息 分 别 在 状 
态 表 、ACL 中 为 附加 连接 建立 相应 的 条 目 。 

(2) NAT 流量 处 理 

在 配置 了 NAT 和 CBAC 的 路 由 器 上 ,对 于 从 外 网 人 站 的 返回 流量 ,路 由 器 先 处 理 状 
态 表 , 然 后 是 ACL, 最 后 才 是 NAT。 为 了 保证 状态 表 中 有 正确 的 返回 连接 条 目 , 同 时 入 
站 ACL 中 有 正确 的 返回 连接 ACL 条 目 ,CBAC 会 在 流量 从 内 网 到 外 网 时 ,使 用 审查 功 将 
内 网 主机 的 全 局 地 址 动态 连接 条 目 加 入 状态 表 和 ACL。 


5. CBAC 对 DoS 攻击 的 检测 

CBAC 可 以 检测 并 在 一 定 程度 上 抵御 DoS 攻击 。 可 以 配置 TCP 连接 的 超时 值 、 
TCP 连接 数量 的 阔 值 ,使 得 CBAC 审查 TCP 流量 时 ,可 以 检测 到 网 络 中 是 否 存在 大 量 来 
自 单一 源 地 址 的 TCP SYN 报 文 ,是 否 存在 指定 时 间 段 仍 未 完成 的 TCP 连接 。 以 下 为 
3 种 常用 保护 内 网 主机 的 阅 值 。 

(1) TCP 半 连 接 或 未 完成 的 UDP 会 话 数 。 
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(2) 一 定时 间 内 TCP 半 连 接 或 未 完成 会 话 总 数 。 

(3) 每 个 主机 TCP 半 连 接 总 数 。 
2.8.2 CBAC 配置 方法 

在 Cisco IOS 中 配置 CBAC 的 基本 步骤 如 表 2-6 所 示 。 其 中 ,第 1.2 步 用 于 定义 和 接口 
上 应 用 过 滤 流 量 的 ACL,CBAC 审查 产生 的 动态 ACL 条 目 会 加 入 到 这 些 ACL 中 ; 第 3 步 用 
于 定义 CBAC 审查 规则 ,该 步 定义 CBAC 审查 哪些 协议 的 流量 ; 第 4 步 指定 各 类 协议 的 超 
时 值 , 主 要 用 于 防范 DoS 攻击 ; 当 被 审查 的 网 络 服务 使 用 了 非 知 名 的 服务 端口 来 提供 服 
务 时 ,使 用 第 5 步 操作 定义 端口 映射 ,明确 CBAC 应 审查 哪些 端口 ; 第 6 步 定义 在 哪些 流 
量 上 应 用 CBAC 审查 规则 ; 第 7 步 对 CBAC 配置 进行 检查 ,确保 CBAC 配置 正确 。 


表 2-6 CBAC 基本 配置 步骤 


序号 操 作 相关 命令 是 否 必要 
步骤 1 定义 ACL access-list 或 ip access-list 是 
步骤 2 在 接口 应 用 ACL ip access-group 是 
步骤 3 定义 审查 规则 ip inspect 是 
步骤 4 定义 全 局 超时 值 ,用 于 防范 DoS | ip inspect 可 选 
步骤 5 定义 端口 映射 ,用 于 审查 使 用 非 od 根据 网 络 服务 
知名 端口 提供 的 服务 情况 使 用 
步骤 6 在 接口 应 用 审查 规则 ip inspect 是 
步骤 7 检查 CBAC 配置 show ip npeet 可 选 
debug ip inspect 


1. 定义 并 应 用 ACL 

在 配置 CBAC 时 需要 注意 ,只 有 在 相应 接口 上 已 经 配置 应 用 了 扩展 ACL 时 ,CBAC 
才能 将 审查 流量 产生 的 动态 ACL 条 目 添加 到 该 ACL 中 。 

例如 图 2-10 中 , 当 为 保护 内 部 网 络 10. 0. 0. 0/24 的 安全 而 在 Routerl 配置 CBAC 时 , 需 
要 首先 保证 在 Fa0/0 入 站 方向 上 配置 有 扩展 ACL, 这 样 由 CBAC 审查 产生 的 动态 ACL 才 
能 添加 到 该 扩展 ACL 中 。 注 意 ,必须 是 扩展 ACL 才能 使 CBAC 正常 工作 ,因为 CBAC 产生 
的 动态 ACL 条 目 包 含有 源 地 址 .目的 地 址 ,协议 类 型 等 扩展 ACL 才 有 的 信息 。 

内 部 网 络 Internet 
RTA 


Fa0/l 63 Fa0/0 


10.0.0.2/24 200.1.1.253/24 


图 2-10 CBAC 配置 示例 1 


2. 定义 及 应 用 审查 规则 
(1) 定义 审查 规则 
在 Cisco IOS 中 定义 审查 规则 的 操作 为 在 全 局 配置 模式 下 输入 : 


到 计算 机 网 络 安全 与 管理 (第 2 版 ) 
ip inspect name inspectiorname {protocol |fragment maximum fragment-number) [alert {on|off}] 


[audit-trail {on|off}] [timeout second] 


其 中 ,inspectionname 参数 为 该 组 审查 规则 在 网 络 设备 上 的 唯一 标识 。 可 以 通过 定 
义 使 用 同一 个 审查 规则 组 名 的 多 条 审查 规则 而 将 多 条 审查 规则 绑 定 在 一 起 。 

protocol 参数 定义 该 审查 规则 审查 哪 种 协议 的 流量 ,该 协议 必须 为 CBAC 支持 的 协 
议 , 如 表 2-7 所 示 。 


表 2-7 CBAC 支持 的 协议 


协议 名 关键 字 说 明 
cuseeme CUSeeMe 协议 
ftp 文件 传输 协议 
h323 H. 323 协议 ,例如 MS NetMeeting、Intel Video Phone 
http 超 文本 传输 协议 
icmp ICMP 协议 
netshow 微软 NetShow 协议 
rcmd 远程 命令 行 协议 ,例如 r-exec、r-login、r-sh 
realaudio Real Audio 协议 
rpe 远程 过 程 调用 协议 
rtsp Real Time Streaming Protocol 
sip SIP 协议 
skinny Skinny 客户 端 控 制 协议 ,思科 专 有 协议 
smtp 简单 邮件 传输 协议 
sqlnet SQL Net Protocol 
streamworks StreamWorks Protocol 
tep 传输 控制 协议 
tftp TFTP 协议 
udp 用 户 报 文 协议 
vdolive VDOLive Protocol 


fragment 关键 字 和 后 面 的 最 大 值 定义 CBAC 允许 会 话 包含 分 片 的 最 大 数量 。 

alert 关键 字 和 后 面 的 on ,off 关键 字 用 于 定义 是 否 打开 警告 。 

audit-trail 关键 字 和 后 面 的 on、off 关键 字 用 于 定义 是 否 打开 审查 审计 。 

timeout 关键 字 和 后 面 的 second 参数 用 于 定义 该 类 会 话 的 超时 时 间 。 此 处 如 果 未 定 
义 超时 时 间 , 还 可 以 使 用 在 全 局 模式 下 配置 的 全 局 超时 时 间 。 

(2) 应 用 审查 规则 

在 Cisco IOS 中 定义 审查 规则 的 操作 为 在 接口 配置 模式 下 输入 : 


ip inspect name inspectionrname {in|out} 


其 中 ,inspectionname 为 前 面 所 定义 的 审查 规则 组 名 。 

关键 字 in ,out 用 于 指定 对 接口 哪个 方向 的 流量 进行 审查 。 

例如 ,要 禁止 从 Internet 向 内 部 网 络 主动 发 起 TCP 连接 ,但 允许 内 部 网 络 向 Internet 
主动 发 起 TCP 连接 , 则 可 以 在 Routerl 上 进行 如 下 配置 。 
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Routerl(config) # ip access-list extended eacl-out2in 

Routerl (config-ext-nacl) # deny tcp any 10.0.0.0 0.0.0.255 

Routerl(config-extrnacl) # permit ip any any 

Routerl (config-ext-nacl) # exit 

Routerl (config) # ip inspect name cbac tcp 

Routerl (config) # interface fa0/1 

Routerl (config-if) # ip inspect cbac in 

Routerl (config) # interface fa0/0 

Routerl (config-if) # ip access-group eacl-out2in in 

以 上 配置 说 明 如 下 。 

O@ 创建 名 为 “eacl-out2in” 的 扩展 ACL, 该 扩展 ACL 将 被 应 用 到 Routerl 连接 
Internet 的 接口 人 站 方向 上 ,用 于 过 滤 来 自 Internet 的 主动 TCP 连接 。 

@ 拒绝 所 有 对 内 部 网 络 10. 0. 0. 0/24 的 TCP 流量 。 由 于 CBAC 审查 会 自动 在 该 
ACL 最 前 面 动 态 增 加 Internet 返回 内 部 网 络 的 TCP 流量 ,所 以 这 里 使 用 该 命令 拒绝 所 
有 其 他 的 TCP 流量 。 

@ 允许 所 有 IP 流量 ,以 保证 其 他 流量 不 受 影响 。 

@ 定义 一 个 组 名 为 “cbac” 的 审查 规则 ,该 审查 规则 对 TCP 流量 进行 检查 。 

@ 在 Routerl 连接 内 部 网 络 的 入 站 方向 上 应 用 已 定义 的 审查 规则 “cbac”, 审 查 所 有 
内 部 网 络 经 由 Routerl 接口 fa0/1 进入 路 由 器 的 TCP 流量 。 

@ 在 Routerl 连接 Internet 的 入 站 方向 上 应 用 已 定义 的 扩展 ACL*eacl-out2in”, 过 
滤 所 有 来 自 Internet 的 流量 。 


3. 定义 全 局 超时 值 及 半 连 接 最 大 值 
如 前 所 述 , 可 以 定义 各 类 协议 的 超时 值 来 防御 DoS 攻击 。 一 些 常 用 的 超时 值 定义 命 
令 如 表 2-8 所 示 。 


©@ @ © @ee 


表 2-8 常用 的 超时 值 定义 命令 


ip inspect tcp synwait-time TCP 会 话 建立 时 间 ? 
ip inspect tcp finwait-time TCP 会 话 拆除 时 间 2 
ip inspect tcp idle-time TCP 会 话 空 闪 时间? 
ip inspect udp idle-time UDP 会 话 空闲 时 间 ® 
ip inspect dns-timeout DNS 查询 时 间 

ip inspect tcp max-incomplete host 单机 半 连 接 最 大 值 S 


注 : @ 定义 TCP 连接 建立 , 即 3 次 握手 的 最 长 时 间 。 如 果 状 态 表 中 已 有 条 目 超 过 此 时 间 定 义 仍 未 完成 TCP 连 
接 建立 过 程 , 则 CBAC 会 自动 删除 状态 表 中 该 条 目 以 及 ACL 中 动态 添加 的 相应 ACL 条 目 。 该 超时 值 默 认为 30s。 

@ 定义 开始 一 个 TCP 会 话 的 拆除 过 程 多 长 时 间 后 从 状态 表 中 删除 该 TCP 连接 条 目 。 其 默认 值 为 5s。 

图 定义 状态 表 中 一 个 TCP 会 话 多 长 时 间 内 没有 相应 的 TCP 流量 经 过 , 则 CBAC 会 将 其 状态 表 条 目 和 ACL 中 相 
应 条 目 删 除 。 其 默认 值 为 3600s。 

图 定义 状态 表 中 一 个 UDP 会 话 多 长 时 间 内 没有 相应 的 UDP 流量 经 过 , 则 CBAC 会 将 其 状态 表 条 目 和 ACL 中 
相应 条 目 删 除 。 其 默认 值 为 30s。 

回 定义 状态 表 中 一 个 DNS 请 求 多 长 时 间 还 未 收 到 答复 后 ,CBAC 会 将 其 状态 表 条 目 和 ACL 中 相应 条 目 删除 。 
其 默认 值 为 5s。 

@@ 定义 每 台 主机 的 最 大 半 连 接 会 话 数 ,范围 为 1 一 4294967295 。 
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4. 定义 端口 映射 

CBAC 审查 各 类 网 络 应 用 协议 时 ,默认 按照 此 类 网 络 应 用 协议 的 知名 端口 对 其 流量 
进行 审查 。 当 实际 网 络 中 的 网 络 服务 使 用 了 非 知 名 端口 提供 网 络 服务 时 ,为 保证 CBAC 
工作 正常 ,需要 配置 端口 映射 ,以 使 得 CBAC 能 够 正确 审查 网 络 应 用 协议 。 

在 Cisco IOS 中 定义 端口 映射 的 操作 为 在 全 局 配置 模式 下 输入 : 


ip port-map application_name port port-number [acinumber |actname ] 


其 中 ,application_name 参数 用 于 指定 哪 类 网 络 服务 使 用 了 非 知名 端口 。 
port-number 参数 用 于 定义 该 网 络 服务 使 用 了 什么 端口 。 

可 选 参数 acl-nwmber |acl-name 用 于 指定 哪些 网 络 中 的 主机 在 提供 该 类 网 络 服务 时 
了 所 定义 的 非 知名 端口 。 

配置 完 端口 映射 后 ,可 以 在 特权 模式 下 使 用 show ip port-map 命令 来 查看 端口 映射 
配置 情况 。 该 命令 语法 如 下 : 


使 


show ip port-map [{application_name| port port-number] 


该 命令 不 带 任何 参数 , 则 显示 各 类 网 络 服务 在 Cisco IOS 中 默认 对 应 的 端口 。 

该 命令 带 网 络 服务 名 参数 , 则 显示 指定 网 络 服务 的 系统 默认 和 用 户 使 用 端口 映射 自 
定义 的 端口 。 

该 命令 带 port 关键 字 和 port-number 参数 , 则 显示 系统 中 指定 端口 号 对 应 的 网 络 
服务 。 

show ip port-map 命令 输出 结果 如 下 : 

Routerl (config) # ip port-map http port 80 


Routerl (config) # exit 
Routerl # show ip port-map http 


Default mapping: http port 8080 user defined 
Default mapping: http port 80 system defined 
Default mapping: http port 8090 user defined 
Routerl# show ip port-map port 80 

Default mapping: http port 80 system defined 
Routerl# show ip port-map 

Default mapping: dns port 53 system defined 
Default mapping: http port 80 system defined 


5. 检查 CBAC 配置 

在 Cisco IOS 中 可 以 使 用 3 种 方法 检查 CBAC 的 配置 是 否 符合 要 求 , 即 show 命令 、 
debug 命令 .警告 和 审计 。 下 面 介 绍 show 和 debug 命令 。 

(1) show 命令 

在 Cisco IOS 中 可 以 在 特权 模式 下 输入 以 下 命令 来 查看 CBAC 审查 执行 情况 。 


show ip inspect {sessions| stat} 
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其 中 ,使 用 sessions 参数 ,将 显示 当前 状态 表 中 的 会 话 条 目 。 
使 用 stat 参数 ,将 显示 到 目前 为 止 CBAC 状态 表 会 话 条 目的 统计 信息 。 
show ip inspect 命令 的 输出 结果 如 下 : 


Routerl # show ip inspect sessions 

Established Sessions 

Session 640008CC (10.0.0.254:0)=>(0.0.0.0:0) icmp SIS_OPEN 
Routerl# show ip inspect stat 

Interfaces configured for inspection 1 

Session creations since subsystem startup or last reset 14 

Current session counts (estab/half-open/terminating) [0:0:0] 
Maxever session counts (estab/half-open/terminating) [0:1:0] 

Last session created 00:00:34 


Last statistic reset never 


@O080e8 © 


Last session creation rate 1 


Last half-open session total 0 


输出 结果 说 明 如 下 : 

Q@ 当前 状态 表 中 有 1 条 会 话 条 目 ,该 条 目 为 主机 10. 0. 0. 254 发 出 ICMP 请 求 触 发 
的 条 目 。 

@ 截至 命令 执行 时 刻 , 已 在 1 个 接口 上 配置 了 CBAC 审查 。 

@ 自从 上 次 系统 CBAC 启动 或 重新 设置 开始 到 该 命令 执行 时 刻 , 状 态 表 中 共 记 录 过 
14 条 会 话 。 

@ 当前 已 建立 , 半 连 接 、 终 止 的 会 话 条 目 数 。 

@ 已 建立 . 半 连 接 、 终 止 的 最 大 会 话 条 目 数 。 

(2) debug 命令 

在 Cisco IOS 中 可 以 在 特权 模式 下 输入 以 下 命令 来 跟踪 CBAC 审查 执行 情况 。 


debug ip inspect protocol 


参数 “协议 名 ”用 于 定义 只 显示 被 审查 的 ICMP 流量 。 


该 命令 输出 结果 如 下 : 

Routerl # debug ip inspect iemp 0 
INSPECT ICMP Inspection debugging is on 

Routerl# 

x*Mar 105:50:11.306: CBAC ICMP: sis 640008CC pak 63C1BCCC SIS_CLOSED ICMP packet 
(10.0.0.254:0) => (0.0.0.0:0) datalen 72 © 
x*xMar 1 05:50:11.446: CBAC * ICMP: sis 640008CC pak 63E66810 SIS_OPENING ICMP 
packet (10.0.0.254:0) == (0.0.0.0:0) datalen 72 @ 
输出 结果 说 明 如 下 : 


Q@ 打开 ICMP 协议 的 CBAC 审查 跟踪 。 
@ 在 10.0.0.254 上 执行 ping 命令 后 CBAC 的 审查 信息 。 
@ 收 到 返回 给 10.0.0.254 的 ICMP 响应 后 CBAC 的 审查 信息 。 
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2.9 模拟 公司 分 支 机 构 网 络 边界 安全 ACL 配置 示例 


模拟 公司 分 支 机 构 A-1 网 络 拓扑 结构 如 图 2-11 所 示 。 


Internet 


邮件 服务 器 应 用 服务 器 
MailSer-1-1-1 AppSer-1-1-n 


图 2-11 分 支 机 构 A-1 网 络 拓扑 示意 图 


总 公司 及 分 支 机 构 IP 地 址 分 配 情况 如 表 2-9 所 示 。 分 支 机 构 网 络 内 IP 地 址 分 配 情 
况 如 表 2-10 所 示 。 其 中 各 分 支 机 构 最 后 16 个 IP 地 址 ,分 别 作为 网 络 设备 管理 地 址 和 网 


络 服务 器 IP 地 址 。 
表 2-9 模拟 公司 IP 地 址 分 配 
机 构 IP 网 络 可 用 IP 地 址 数量 
总 公司 200. 100. 8. 0/22 1022 
分 公司 1 200. 100. 12. 0/24 254 
分 公司 2 200. 100. 13. 0/24 254 
分 支 A-1 200. 100. 14. 0/25 126 
分 支 A-2 200. 100. 14. 128/26 62 
分 支 A-3 200. 100. 14. 192/26 62 
分 支 B-1 200. 100. 15. 0/26 62 
分 支 BE-2 200. 100. 15. 64/26 62 
分 支 C-1 200. 100. 15. 128/27 30 
分 支 C-2 200. 100. 15. 160/27 30 
串 行 链 路 1 200. 100. 15. 192/30 2 
串 行 链 路 2 200. 100. 15. 196/30 2 
串 行 链 路 3 200. 100. 15. 200/30 2 
串 行 链 路 4 200. 100. 15. 204/30 2 
串 行 链 路 5 200. 100. 15. 208/30 2 
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续 表 
机 构 IP 网 络 可 用 IP 地 址 数量 

串 行 链 路 6 200. 100. 15. 212/30 2 

串 行 链 路 7 200. 100. 15. 216/30 2 

串 行 链 路 8 200. 100. 15. 220/30 2 

串 行 链 路 9 200. 100. 15. 224/30 2 

表 2-10 分 支 机 构 网 络 内 IP 地 址 分 配 
设 备 IP 地 址 

分 支 A-1 邮件 服务 器 地 址 200. 100. 14. 117/29 
分 支 A-1 应 用 服务 器 地 址 200. 100. 14. 113~200. 100. 14. 116/29 
分 支 A-1 网 络 设备 管理 地 址 200. 100. 14. 121~200. 100. 14. 126/29 
分 支 C-2 邮件 服务 器 地 址 200. 100. 15. 181/29 
分 支 C-2 应 用 服务 器 地 址 200. 100. 15. 177~200. 100. 15. 180/29 
分 支 C-2 网 络 设备 管理 地 址 200. 100. 15. 185~200. 100. 14. 189/29 


在 此 以 Cisco 为 例 , 按 照 第 2. 1 节 给 出 的 安全 配置 方案 进行 分 析 , 需 要 在 边界 路 由 器 
上 进行 的 配置 任务 如 下 。 

(1) 在 边界 路 由 器 连接 外 网 接口 的 入 站 方向 上 配置 扩展 ACL ,包含 如 下 规则 。 

J@ 拒绝 bogon 主机 对 分 支 机 构 网 络 的 IP 流量 。 

@ 配置 定时 ACL 条 目 , 允 许 到 应 用 服务 器 指定 端口 的 流量 。 

@ 允许 到 邮件 服务 器 的 邮件 通信 流量 。 

@ 允许 到 内 网 网 络 设备 的 SSH 流量 。 

@ 允许 从 Internet 到 内 网 网 络 设备 和 服务 器 的 ICMP 流量 。 

@@ 拒绝 所 有 来 自 Internet 的 TCP、UDP、ICMP 流量 。 

@ 允许 来 自 Internet IP 流量 。 

(2) 在 边界 路 由 器 连接 外 网 接口 的 出 站 方向 上 配置 CBAC 条 目 cbac, 允许 从 
Internet 返回 的 TCP .UDP ICMP 流量 。 

(3) 在 边界 路 由 器 连接 分 支 网 络 的 各 子 接口 入 站 方向 配置 拒绝 所 有 TCP 和 UDP 
1524 端口 、27444 端口 .27665 端口 、16660 端口 .65000 端口 、31335 端口 ,IRC 服务 的 
TCP 6665 一 6669 端口 和 木马 常用 端口 流量 。 

(4) 在 边界 路 由 器 连接 分 支 网 络 的 各 子 接口 入 站 方向 配置 CBAC 审查 TCP、UDP、 
ICMP 流量 ,与 接口 S1/0 入 站 方向 上 扩展 ACL 条 目 配 合 ,拒绝 所 有 Internet 到 分 支 机 构 
网 络 内 除 服 务 器 外 其 他 主机 的 主动 连接 。 

(5) 在 分 支 网 络 所 有 网 络 设备 VTY 线路 上 配置 标准 ACL, 拒 绝 bogon 地 址 主机 但 
允许 其 他 主机 使 用 SSH 远程 登录 管理 网 络 设备 。 

具体 的 配置 如 下 : 


ip inspect name cbac tcp O 


ip inspect name cbac udp timeout 30 


对 
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ip inspect name cbac icmp 


interface Loopback0 
ip address 200.100.14.114 255.255.255.255 


interface FastEthernet0/0.10 


ip access-group eacl-in2out in 
ip inspect cbac in 
interface FastEthernet0/0.20 


ip access-group eacl-in2out in 


ip inspect cbac in 


interface Seriall/0 
ip address 200.100.15.197 255.255.255.252 


ip access-group eacl-out2in in 


ip access-list standard sacl-ssh 
deny 10.0.0.0 0.255.255.255 
deny 14.0.0.0 0.255.255.255 


permit any 

! 

ip access-list extended eacl-in2out 
deny tcp any any eq 33270 
deny tcp any eq 33270 any 
deny tcp any any eq 39168 
deny tcp any eq 39168 any 
deny udp any eq 1524 any 
deny udp any any eq 1524 


permit ip any any 

ip access-list extended eacl-out2in 
deny ip 0.0.0.0 1.255.255.255 any 
deny ip 2.0.0.0 0.255.255.255 any 
deny ip 5.0.0.0 0.255.255.255 any 


deny ip 224.0.0.0 31.255.255.255 any 

deny ip 200.100.14.0 0.0.0.127 any 

permit tcp any 200.100.14.112 0.0.0.7 eq 22 
Permit tcp any host 200.100.14.126 eq smtp 


®@ee 
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permit tcp any host 200.100.14.126 eq pop3 
permit tcp any 200.100.14.112 0.0.0.7 range 3000 3010 time-range wkday 
permit icmp any 200.100.14.112 0.0.0.15 


ee@ee 


deny tcp any any 
deny udp any any 
deny icmp any any 


permit ip any any 


line vty 0 4 


access-class sacl-ssh in 四 


time-range wkday 
periodic weekdays 9:00 to 17:00 四 


配置 说 明 如 下 : 

@D、.@ 配置 对 TCP、UDP、ICMP 流量 进行 审查 ,这 3 条 命令 配合 访问 控制 列表 “eacl- 
out2in” 实 现 仅 允许 分 支 机构 网 络 到 Internet 的 TCP、UDP、ICMP 连接 ,禁止 Internet 到 
分 支 机 构 网 络 的 主动 TCP、UDP、ICMP 连接 。 

@ 在 边界 路 由 器 连接 分 支 机 构 网 络 的 各 子 接口 上 ,配置 禁止 疑 为 DDoS 攻击 的 流 
量 入 站 ,防御 分 支 机 构 网 络 内 主机 被 攻陷 后 主动 向 Internet 外 恶意 用 户 发 起 的 DDoS 
连接 。 

@ 在 边界 路 由 器 连接 分 支 机 构 网 络 的 各 子 接口 上 ,配置 对 入 站 TCP、UDP、ICMP 流 
量 进 行 审查 。 

@@ 在 边界 路 由 器 连接 Internet 的 接口 上 ,应 用 对 入 站 流量 进行 过 滤 的 访问 控制 列表 
“eacl-out2in” 。 

@ 该 命令 定义 用 于 限制 bogon 主机 使 用 SSH 远程 访问 该 边界 路 由 器 的 标准 ACL， 
用 于 防御 使 用 假冒 IP 地 址 对 分 支 机 构 网 络 发 动 的 攻击 。 

@O .@ 定义 访问 控制 列表 “eacl-in2out” ,禁止 可 能 被 DDoS 攻击 利用 访问 流量 。 

@ .四 该 命令 定义 禁止 bogon 主机 访问 分 支 机构 网 络 的 ACL 条 目 。 

@@ 该 命令 定义 允许 使 用 SSH 远程 管理 各 网 络 设备 的 ACL 条 目 。 

四 、@@ 该 两 条 命令 定义 允许 访问 分 支 机 构 邮 件 服务 器 的 ACL 条 目 。 

@@ 该 命令 用 于 定义 允许 Internet 在 指定 时 间 访 问 分 支 机 构 应 用 服务 器 TCP 3000 一 
3010 端口 上 提供 的 网 络 应 用 服务 。 

@ 该 命令 用 于 允许 使 用 ping 从 Internet 检查 分 支 机 构 网 络 设备 .服务 器 的 联通 性 。 

曲 .@ 这 3 条 命令 与 审查 命令 配合 ,禁止 Internet 到 分 支 机 构 网 络 主动 TCP .UDP、 
ICMP 连接 。 

@ 为 保证 路 由 协议 等 能 正常 工作 ,允许 所 有 其 他 IP 流量 。 

四 在 该 边界 路 由 器 远程 访问 线路 上 应 用 禁止 bogon 主机 访问 的 标准 ACL。 

团 为 定时 ACL 条 目 定义 的 时 间 段 “wkday”, 该 时 间 段 为 每 周一 至 周 五 的 早 9: 00 到 
开征 5500s 


有 
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2. 10 小 结 


作为 最 基础 .应 用 最 为 广泛 的 安全 控制 技术 ,ACL 在 保护 网 络 安全 、 防 止 非法 入 侵 方 
面 起 着 非常 重要 的 作用 。 本 章 通过 对 模拟 公司 分 支 机 构 网 络 边界 安全 任务 进行 分 析 , 引 
出 对 ACL 知识 的 需求 ,通过 对 常用 的 几 种 ACL, 包 括 基本 ACL、 高 级 ACL 定时 ACL 以 
及 ASPF 技术 .CBAC 技术 的 基本 原理 和 配置 方法 的 介绍 ,最 终结 合 各 种 ACL 实现 对 模 
拟 公 司 分 支 机 构 网 络 的 安全 防护 。 


2.11 习题 


1. 要 求 使 用 一 条 ACL 规则 来 匹配 网 段 202. 207. 120. 0/24 和 202. 207. 122. 0/24 ,请 
给 出 规则 中 的 IP 地 址 和 通配符 掩 码 的 取 值 。 

2. 为 什么 要 尽量 避免 使 用 ACL 的 默认 规则 ? 

3. 在 确定 ACL 的 应 用 位 置 时 ,应 遵循 什么 样 的 规则 ? 

4. 在 配置 高 级 ACL 以 允许 外 部 网 络 访问 内 部 网 络 中 的 FTP 服务 时 ,为 何不 需要 指 
定 对 FTP 服务 器 20 端口 的 访问 允许 ? 

5. 在 ASPF 的 配置 中 ,能 否 使 用 detect tcp 来 代替 detect ftp? 


2.12 实 训 


2.12.1 基本 ACL 配置 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 3~4 人 。 
1. 实验 目的 
掌握 基本 ACL 的 配置 和 验证 方法 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 3 台 
(2) 路 由 器 : 1 台 

(3) 二 层 交 换 机 : 2 台 

(4) UTP 电缆 : 6 条 

(5) Console 电缆 : 2 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配 置 。 

3. 实验 内 容 


(1) 配置 应 用 在 接口 上 的 基本 ACL。 
(2) 配置 应 用 在 VTY 上 的 基本 ACL。 


4. 实验 指导 
(1) 按照 图 2-12 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 
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SWA RTA SWB 


一 、 
E1/0/24 人生 10.0.x.2/24 本 外 网 
E0/0.10:10.x.1.128 到 和 EO/1 
E0/0.20:10.x.1.17/28 


E1/0/2 


1 
PC1:10.x.1.2/28 人 PC3:10.0.x.254/24 


VLAN 10 ， VLAN20 


2-12 基本 ACL 配置 实 训 


(2) 按照 图 2-12 所 示 为 PC 和 路 由 器 配置 IP 地 址 ,其 中 注意 PCs 的 默认 网 关 需 要 设 
置 为 10. 0. x. 2。 交 换 机 SWB 保持 空 配置 ,在 交换 机 SWA 上 划分 VLAN, 在 路 由 器 
RTA 上 配置 单 臂 路 由 和 默认 路 由 ,实现 整个 网 络 的 联通 性 。 

配置 完成 后 ,使 用 ping 命令 测试 网 络 联通 性 ,此 时 应 保证 3 台 主 机 之 间 可 以 通信 ,并 
且 PC, 和 PC; 均 应 能 够 访问 外 部 网 络 。 

(3) 配置 基本 ACL ,实现 如 下 安全 需求 。 

Q@ VLAN 10 和 VLAN 20 中 的 主机 均 可 以 访问 外 部 网 络 。 

@ VLAN 10 中 只 有 IP 地址 为 10. x. 1. 10 的 主机 可 以 访问 VLAN 20, 其 他 主机 禁 
止 访问 VLAN 20。 

H3C 设备 参考 命令 如 下 : 

[RTA Jfirewall enable 

[RTA]acl number 2000 

[RTA-acl-basic-2000] rule permit source 10.x.1.10 0 

[RTA-acl-basic-2000] rule deny source 10.x.1.0 0.0.0.15 

[RTA-acl-basic-2000] rule permit 

[RTA-acl-basic-2000] quit 

[RTA|interface Ethernet 0/0.20 

[RTA-Ethernet0/0.20]firewall packet-filter 2000 outbound 


Cisco 设备 参考 命令 如 下 : 


RTA(config) # ip access-list standard vlan-acl 
RTA(config-std-nacl) # permit host 10.x.1.10 
RTA(config-std-nacl) # deny 10.x.1.0 0.0.0.15 
RTA(config-std-nacl) # permit any 
RTA(config-std-nacl) # exit 

RTA(config) # interface FastEthernet 0/0.20 
RTA(config-subif) # ip access-group vlan-acl out 


配置 完成 后 ,在 PC 和 PC。 上 分 别 使 用 ping 命令 测试 到 达 PC; 或 外 部 网 络 任意 主 
机 的 联通 性 ,应 该 可 以 ping 通 ; 但 在 PC, 应 该 无 法 ping 通 PC,。 将 PCi 的 IP 地 址 修改 
为 10. x. 1. 10/28 后 ,PC 应 该 可 以 ping 通 PC;。 
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了 在 使 用 ping 命令 测试 的 过 程 中 ,可 以 在 路 由 器 RTA 上 使 用 display acl all 或 者 
show access-lists 命令 查看 ACL 规则 的 匹配 情况 。 
(4) 配置 基本 ACL ,实现 如 下 安全 需求 。 
内 部 网 络 主机 均 可 以 通过 VTY 方式 登录 到 路 由 器 RTA 上 ,外 部 网 络 仅 IP 地 址 为 
10.0. x. 254 的 主机 可 以 登录 ,拒绝 其 他 所 有 外 部 网 络 主机 登录 到 路 由 器 RTA 上 。 
为 简单 起 见 , 不 再 为 路 由 器 RTA 配置 专门 的 管理 地 址 。 
H3C 设备 参考 命令 如 下 : 


[RTA]telnet server enable 

[RTA]user-interface vty 0 4 

[RTA-ui-vty0-4] authentication-mode password 
[RTA-ui-vty0-4] set authentication password simple network 
[RTA-ui-vty0-4] user privilege level 3 

[RTA-ui-vty0-4] quit 

[RTA]acl number 2001 

[RTA-acl-basic-2001] rule permit source 10.x.1.0 0.0.0.31 
[RTA-acl-basic-2001] rule permit source 10.0.x.254 0 
[RTA-acl-basic-2001] rule deny 

[RTA-acl-basic-2001] quit 

[RTA] user-interface vty 0 4 

[RTA-ui-vty0-4] acl 2001 inbound 


注意 : ACL 2001 配置 的 第 一 条 规则 ,使 用 0.0.0.31 的 通配符 掩 码 涵盖 了 VLAN 10 
和 VLAN 20 两 个 网 段 。 


Cisco 设备 参考 命令 如 下 : 


RTA (config)# line vty 0 4 

RTA(config-line) # password network 
RTA(config-line) # login 

RTA(config-line) # exit 

RTA(config) # ip access-list standard vty-acl 
RTA(config-std-nacl) # permit 10.x.1.0 0.0.0.31 
RTA(config-std-nacl) # permit host 10.0.x.254 
RTA(config-std-nacl) # deny any 
RTA(config-std-nacl) # exit 

RTA(config) # line vty 0 4 

RTA(config-line) # access-class vty-acl in 


配置 完成 后 ,在 3 台 PC 上 Telnet 路 由 器 RTA 的 任意 一 个 物理 接口 的 地 址 ,应 该 可 
以 登录 (注意 : PCs 无 法 使 用 路 由 器 E0/0. 10 子 接口 的 IP 地 址 10. x.1.1 和 登录 ,因为 将 匹 
配 ACL 2000 中 的 规则 5) ,将 PCs 的 IP 地 址 修改 为 10. 0. x. 3 一 10. 0. x. 253 地 址 段 中 的 
任意 一 个 IP 地 址 后 ,将 无 法 通过 Telnet 登录 到 路 由 器 RTA 上 。 

在 使 用 Telnet 进行 测试 的 过 程 中 ,可 以 在 路 由 器 RTA 上 使 用 display acl all 命令 查 
看 ACL 规则 的 匹配 情况 。 
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5. 实验 报告 
应 用 在 接口 上 的 
基本 ACL 配置 
PCi /PC: ping PC; 或 外 网 是 否 可 以 ping 通 
是 否 可 以 ping 通 
A ACL | PC ping PC; 克 二 GL 
是 否 可 以 ping 通 
修改 地 址 后 PC, ping PC; 匹配 ACL 规则 
应 用 在 VTY 上 的 基 
本 ACL 配置 
是 否 可 以 登录 
PC /PC;: Telnet 到 RTA 匹配 ACL 规则 
应 用 在 VTY 上 的 基 是 否 可 以 登录 
本 ACL 测试 Pe Te RDA 匹配 ACL 规则 
是 否 可 以 登录 
修改 地 址 后 PC Telnet 到 RTA 匹配 ACL 规则 
2.12.2 高 级 ACL 配置 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 3 一 4 人 。 
1. 实验 目的 
掌握 高 级 ACL 的 配置 和 验证 方法 。 
2. 实验 环境 
(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 3 台 
(2) 路 由 器 : 1 台 


(3) 二 层 交 换 机 : 1 台 

(4) 三 层 交 换 机 : 1 台 

(5) UTP 电缆 : 6 条 

(6) Console 电缆 : 2 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 


3. 实验 内 容 
配置 高 级 ACL ,实现 网 络 端口 级 的 访问 控制 。 


4. 实验 指导 
(1) 按照 图 2-13 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 


(2) 按照 图 2-13 所 示 为 路 由 器 、 三 层 交 换 机 和 PC 配置 IP 地 址 ,其 中 注意 PC; 的 默 
认 网 关 需 要 设置 为 10.0. x.2。 交 换 机 SWB 保持 空 配 置 ,在 交换 机 SWA 和 路 由 器 RTA 


上 配置 RIPv2 协议 以 及 配置 默认 路 由 ,实现 整个 网 络 的 联通 性 。 


(3) 在 3 台 PC 上 启动 XAMPP 软件 ,开启 Apache 和 FileZilla 服务 , 即 开 启 HTTP 


55、 
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SWA RTA SWB 


10.x.1.32/30 ~ WS 4 外 网 
El/024 E00 Eo 


E1/0/1 E1/0/2 
10.x.1.1/28 10.x.1.17/28 


PC1:10.x.1.2/28 PC2:10.x.1.18/28 PC3:10.0.x.254/24 


2-13 高 级 ACL 配置 实 训 


服务 和 FTP 服务 。 保 证 3 台 PC 之 间 可 以 互 访 HTTP 和 FTP 站 点 。 

(4) 配置 高 级 ACL, 要 求 内 部 网 络 可 以 随意 访问 外 部 网 络 ,而 外 部 网 络 访问 内 部 网 
络 受 到 以 下 限制 。 

Q@ 外 部 网 络 可 以 访问 内 网 主机 10. x. 1.2 上 的 HTTP 服务 。 

@ 外 部 网 络 可 以 访问 内 网 主机 10. x. 1.2 上 的 FTP 服务 。 

@ 禁止 外 部 网 络 访问 其 他 任何 关于 内 网 的 基于 TCP 的 服务 。 

@ 禁止 外 部 网 络 主动 ping 内 部 网 络 主机 。 

@ 允许 其 他 类 型 的 访问 。 

H3C 设备 参考 命令 如 下 : 


[RTA firewall enable 

[RTA]acl number 3000 

RTA-acl-adv-3000]rule permit tcp destination 10.x.1.2 0 destination-port eq 80 
RTA-acl-adv-3000. 
RTA-acl-adv-3000 


]rule permit tcp destination 10. x.1.2 0 destination-port eq 20 
RTA-acl-adv-3000] 


rule permit tcp destination 10. x.1.2 0 destination-port eq 21 
rule permit tcp established 

RTA-acl-adv-3000 
RTA-acl-adv-3000 
RTA-acl-adv-3000]rule permit ip 
RTA-acl-adv-3000]quit 

RTA|interface Ethernet 0/1 

RTA-Ethernet0/1 |firewall packet-filter 3000 inbound 


rule deny tcp 
rule deny icmp icmp-type echo 


Cisco 设备 参考 命令 如 下 : 


RTA(config) # ip access-list extended out2in 
RTA(config-ext-nacl) # permit tcp any host 10.x.1.2 eq 80 
RTA(config-ext-nacl) # permit tcp any host 10.x.1.2 eq 20 
RTA(config-ext-nacl) # permit tcp any host 10.x.1.2 eq 21 
RTA(config-ext-nacl) # permit tcp any any established 
RTA(config-ext-nacl) # deny tcp any any 
RTA(config-ext-nacl) # deny icmp any any echo 
RTA(config-ext-nacl) # permit ip any any 
RTA(config-ext-nacl) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # ip access-group out2in in 
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配置 完成 后 ,在 PC, 和 PC* 上 分 别 使 用 ping 命令 测试 到 达 PCs 或 外 部 网 络 任意 主 
机 的 联通 性 ,应 该 可 以 ping 通 ; 但 是 在 PC; 上 使 用 ping 命令 测试 到 达 PC 和 PC; 的 联 
通 性 ,应 该 无 法 ping 通 。 

在 PC, 和 PC 上 应 该 可 以 访问 PC; 上 的 HTTP 和 FTP 服务 ; 在 PCs 上 应 该 无 法 访 
问 PC, 上 的 HTTP 和 FTP 服务 ; 在 PC: 上 应 该 可 以 访问 PC, 上 的 HTTP 服务 ; 在 默认 
的 被 动 模式 下 ,PC 上 应 该 无 法 访问 PC, 上 的 FTP 服务 ; 将 PC; 的 FTP 连接 模式 修改 
为 主动 模式 后 ,PC; 上 应 该 可 以 访问 PC, 上 的 FTP 服务 。 

在 进行 测试 的 过 程 中 ,可 以 在 路 由 器 RTA 上 使 用 display acl all 或 show access-lists 
命令 查看 ACL 规则 的 匹配 情况 。 

(5) 将 ACL 中 的 第 2 条 规则 , 即 允 许 外 部 网 络 访问 内 网 主机 10. x. 1.2 上 的 FTP 数 
据 端 口 的 规则 删除 。 

H3C 设备 参考 命令 如 下 : 


[RTA]acl number 3000 
[RTA-acl-adv-3000]undo rule 5 


Cisco 设备 参考 命令 如 下 : 


RTA(config) # ip access-list extended out2in 

RTA(config-ext-nacl) # no permit tcp any host 10.x.1.2 eq 20 

配置 完成 后 ,测试 在 PC* 上 使 用 主动 模式 是 否 还 可 以 访问 PC, 上 的 FTP 服务 ,并 解 
释 原 因 。 

测试 结果 应 该 是 PCs 依然 可 以 访问 PC 上 的 FTP 服务 。 因 为 在 主动 模式 下 ,FTP 的 
数据 连接 将 由 FTP 服务 器 即 内 网 主机 10. x. 1. 2 发 起 ,而 由 外 部 网 络 主机 PCs 进行 响应 ,此 
时 从 外 部 网 络 进入 内 网 的 数据 连接 流量 将 匹配 规则 rule permit tcp established, 从 而 被 允许 。 


5. 实验 报告 


高 级 ACL 配置 
是 否 可 以 ping 通 
PC /PC; ping PC; 或 外 网 匹配 ACL 规则 
a 是 否 可 以 ping 通 
PCs ping PC /PC; 匹配 ACL 规则 
PCi/PC; 访问 PC: 的 HTTP/ 是 否 可 以 访问 
FTP 服务 匹配 ACL 规则 
PC; 访问 PC 的 HTTP/FTP 是 否 可 以 访问 
ACL 
A 匹配 ACL 规则 
是 否 可 以 访问 
; 访问 PC, 的 HTT 
PC; 访问 PC 的 P 服务 匹配 ACL 规则 
PC; 使 用 主动 模式 访问 PC, 的 是 否 可 以 访问 
FTP 服务 匹配 ACL 规则 
删除 rule 5 后 PC; 使 用 主动 模 是 否 可 以 访问 
式 访 问 PCi 的 FTP 服务 解释 原因 


~、 
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2.12.3 ASPF/CBAC 配置 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 3~4 人 。 


1. 实验 目的 
掌握 ASPF/CBAC 的 配置 和 验证 方法 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 3 台 
(2) 路 由 器 : 1 台 

(3) 二 层 交 换 机 : 1 台 

(4) 三 层 交 换 机 : 1 台 

(5) UTP 电缆 : 6 条 

(6) Console 电缆 : 2 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 


3. 实验 内 容 
配置 ASPF/CBAC ,通过 TACL 和 静态 ACL 的 组 合 实现 精确 访问 控制 策略 。 


4. 实验 指导 

注意 : 本 次 实验 是 实验 2. 12.2 的 延续 ,应 在 正确 完成 实验 2. 12. 2 的 基础 上 进行 本 
次 实验 。 

(1) 分 析 实 验 2. 12. 2 存在 的 问题 。 作 为 静态 的 ACL 形式 ,虽然 高 级 ACL 可 以 实现 
网 络 端口 级 的 访问 控制 ,但 无 法 对 网 络 中 的 流量 进行 监控 。 在 实验 2. 12. 2 中 ,为 保证 内 
部 网 络 主机 可 以 访问 外 部 网 络 的 基于 TCP 的 服务 ,配置 了 规则 rule permit tcp 
established, 但 该 规则 可 能 会 导致 伪造 TCP 响应 报 文 的 攻击 ; 另外 ,实验 2. 12. 2 也 无 法 
防范 基于 UDP 的 攻击 。 

(2) 配置 ASPF/CBAC 策略 与 高 级 ACL 相配 合 ,实现 以 下 安全 需求 。 

Q@ 外 部 网 络 可 以 访问 内 网 主机 10. x. 1.2 上 的 HTTP 服务 。 

@ 外 部 网 络 可 以 访问 内 网 主机 10. x. 1.2 上 的 FTP 服务 。 

@ 禁止 外 部 网 络 访问 其 他 任何 关于 内 网 的 基于 TCP 的 服务 。 

@ 禁止 外 部 网 络 访问 任何 关于 内 网 的 基于 UDP 的 服务 。 

@ 禁止 外 部 网 络 主动 ping 内 部 网 络 主机 。 

@ 允许 其 他 类 型 的 访问 。 

从 安全 需求 上 看 ,和 实验 2. 12. 2 的 区 别 仅 仅 是 多 了 第 4 条 关于 UDP 的 限制 ,但 是 在 
实现 上 将 存在 较 大 区 别 。 

H3C 设备 参考 命令 如 下 : 

[RTA]acl number 3000 

[RTA-acl-adv-3000]undo rule 15 

[RTA-acl-adv-3000]rule 15 deny udp 


[RTA-acl-adv-3000]quit 
[RTA]aspf-policy 1 


3000 


了 所 


多 通 
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RTA-aspf-policy-1 | detect ftp 
RTA-aspf-policy-1] detect tcp 
RTA-aspf-policy-l] detect udp 
RTA-aspf-policy-1] quit 

RTA |interface Ethernet 0/1 
RTA-Ethernet0/1|firewall aspf 1 outbound 


注意 : 在 此 将 在 实验 2. 12. 2 中 配置 ACL 3000 的 规则 进行 了 修改 ,修改 后 的 ACL 
的 规则 如 下 : 


[RTA]display acl 3000 

Advanced ACL 3000, named -none-, 6 rules, 

ACL's step is 5 

rule 0 permit tcp destination 10.9.1.2 0 destination-port eq www 
rule 10 permit tcp destination 10.9.1.2 0 destination-port eq ftp 
rule 15 deny udp 

rule 20 deny tcp 

rule 25 deny icmp icmp-type echo 

rule 30 permit ip 


从 规则 中 可 以 看 出 ,除了 对 于 10.9.1.2 的 HTTP 和 FTP 服务 的 访问 ,实际 上 拒绝 
有 从 外 部 网 络 到 内 部 网 络 的 TCP 和 UDP 流量 。 

在 ASPF 策略 的 审查 规则 中 , 单 通道 应 用 层 协 议 HTTP 使 用 TCP 协议 检测 即 可 ,而 
道 应 用 层 协 议 FTP 需要 单独 配置 检测 。 

Cisco 设备 参考 命令 如 下 : 


RTA(config) # ip access-list extended out2in 
RTA(config-ext-nacl) # no permit tcp any any established 
RTA(config-ext-nacl) # no permit ip any any 
RTA(config-ext-nacl) # deny udp any any 
RTA(config-ext-nacl) # permit ip any any 

RTA(config) # ip inspect name network ftp 
RTA(config) # ip inspect name network tcp 
RTA(config) # ip inspect name network udp 
RTA(config) # interface FastEthernet 0/1 
RTA(config-if) # ip inspect network out 


修改 后 的 扩展 ACL out2in 的 规则 如 下 : 


RTA# show access-lists out2in 

Extended IP access list out2in 
permit tcp any host 10.1.1.2 eq www 
permit tcp any host 10.1.1.2 eq ftp 
deny tcp any any 
deny icmp any any echo 
deny udp any any 
permit ip any any 


配置 完成 后 ,进行 相关 测试 ,ping 命令 测试 结果 与 ACL 匹配 情况 与 实验 2. 12. 2 完 
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全 相同 ,在 此 不 再 袭 述 。 

在 PC 和 PC, 上 可 以 访问 PC 上 的 HTTP 和 FTP 服务 ; 在 PC 上 无 法 访问 PC 
上 的 HTTP 和 FTP 服务 ; 在 PC: 上 可 以 访问 PC 上 的 HTTP 服务 ; 在 默认 的 被 动 模式 
下 ,PC 上 无 法 访问 PC, 上 的 FTP 服务 ; 将 PCs 的 FTP 连接 模式 修改 为 主动 模式 后 ， 
PC 上 可 以 访问 PC 上 的 FTP 服务 。 

注意 : 本 部 分 测试 结果 与 实验 2. 12. 2 完全 相同 ,但 是 匹配 的 规则 与 实验 2. 12. 2 有 
所 区 别 。 

在 进行 测试 的 过 程 中 ,可 以 在 路 由 器 RTA 上 使 用 display acl all 或 者 show access- 
lists 命令 查看 ACL 规则 的 匹配 情况 ,使 用 display aspf session 或 者 show ip inspect 
sessions 命令 查看 ASPF 的 会 话 信息 。 


5. 实验 报告 


高 级 ACL 配置 


ASPF/CBAC 策略 配置 


PCi/PC; 访问 PC; 的 HTTP | 是 否 可 以 访问 
服务 匹配 ASPF/CBAC 规则 
是 否 可 以 访问 
匹配 ASPF/CBAC 规则 
PCs 访问 PC; 的 HTTP/FTP | 是 否 可 以 访问 


PCi/PC: 访问 PC; 的 FTP 服务 


高 级 ACL 及 ASPF/ 


服务 匹配 ACL 规则 

0 PC; 访问 PC, 的 HTTP 服务 下 
E 匹配 ACL 规则 

学 是 否 可 以 访问 

PC; 使 用 主动 模式 访问 PC 的 匹配 ACL 规则 


FTP 服务 匹配 ASPF/CBAC 规则 


2.12.4 ACL 综合 应 用 实 训 1 
实验 学 时 : 4 学 时 。 
每 组 实验 学 生 人 数 : 3 一 4 人 。 


1. 实验 目的 
掌握 在 网 络 中 综合 应 用 ACL 和 ASPF/CBAC 实现 访问 控制 的 能 力 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 4 台 
(2) 路 由 器 : 2 台 

(3) 二 层 交 换 机 : 2 台 

(4) V. 35 背 对 背 电 缆 : 1 条 

(5) UTP 电缆 : 7 条 

(6) Console 电缆 : 2 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 
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3. 实验 内 容 
(1) 配置 高 级 ACL。 
(2) 配置 ASPF/CBAC。 


4. 实验 指导 
(1) 按照 图 2-14 所 示 的 网 络 拓扑 结构 搭建 网 络 , 完 成 网 络 连接 。 
RTA RTB 


PC PC> 
10.x.1.1/24 10.x.1.10/24 


PC3 PC 
10.x.3.1/24 10.0.x.10/24 


图 2-14 ACL 综合 应 用 实 训 1 


(2) 按照 图 2-14 所 示 为 路 由 器 和 PC 配置 IP 地 址 ,其 中 注意 PC, 的 默认 网 关 需 要 设 
置 为 10.0. x.2。 两 台 交 换 机 均 保 持 空 配置 ,在 路 由 器 RTA 和 RTB 上 配置 RIPv2 协议 以 
及 配置 默认 路 由 ,实现 整个 网 络 的 联通 性 。 

(3) 在 PC 和 PC, 上 启动 XAMPP 软件 ,开启 Apache 和 FileZilla 服务 , 即 开启 
HTTP 服务 和 FTP 服务 。 保 证 另外 3 台 主 机 均 可 访问 PC; 和 PC, 的 HTTP 和 FTP 
站 点 。 

(4) 配置 高 级 ACL 和 ASPF/CBAC, 实 现 以 下 安全 需求 。 

@ 分 支 机 构 网 络 可 以 任意 访问 总 部 网 络 和 外 部 网 络 ,总 部 网 络 可 以 任意 访问 外 部 网 
络 ,包括 各 种 基于 TCP 和 UDP 的 服务 。 

@ 总 部 网 络 只 能 访问 分 支 机 构 网 络 中 的 IP 地 址 为 10. x. 1.1 一 10. x. 1.7 的 主机 ,不 
能 访问 分 支 机 构 网 络 中 的 其 他 主机 。 

@ 外 部 网 络 主机 可 以 访问 总 部 网 络 中 PC; 上 的 HTTP 服务 和 FTP 服务 ,但 不 能 访 
问 总 部 网 络 上 的 其 他 主机 。 

@ 外 部 网 络 主机 可 以 访问 分 支 机 构 网 络 中 除 IP 地 址 为 10. x. 1. 1 一 10. x. 1.7 以 外 
的 主机 。 

H3C 设备 参考 命令 如 下 : 

[RTA |firewall enable 

[RTA]aspf-policy 1 

[RTA-aspf-policy-1] detect ftp 

[RTA-aspf-policy-1] detect tcp 

[RTA-aspf-policy-1] detect udp 

[RTA-aspf-policy-1] quit 

[RTA|interface Serial 1/0 


[RTA-Seriall/0]firewall aspf 1 outbound 
[RTA-Seriall/0]quit 
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[RTA]acl number 3000 

[RTA-acl-adv-3000]rule permit ip destination 10.x.1.0 0.0.0.7 

[RTA-acl-adv-3000]rule permit icmp icmp-type echo-reply 

[RTA-acl-adv-3000]rule deny ip source 10.x.3.0 0.0.0.255 destination 10.x.1.0 0.0.0.255 
[RTA-acl-adv-3000]rule permit ip 

[RTA-acl-adv-3000] quit 

[RTA]interface Serial 1/0 


RTA-Seriall/0 |]firewall packet-filter 3000 inbound 


[RTB]firewall enable 

[RTB]aspf-policy 2 

[RTB-aspf-policy-2] detect ftp 

[RTB-aspf-policy-2] detect tcp 

[RTB-aspf-policy-2] detect udp 

RTB-aspf-policy-2] quit 

RTB]interface Ethernet 0/1 

RTB-Ethernet0/1]firewall aspf 2 outbound 

RTB-Ethernet0/1] quit 

[RTB]acl number 3001 

[RTB-acl-adv-3001] rule permit tcp destination 10. x.3.1 0 destination-port eq 80 
[RTB-acl-adv-3001] rule permit tcp destination 10. x.3.1 0 destination-port eq 21 
[RTB-acl-adv-3001] rule permit icmp icmp-type echo-reply 

[RTB-acl-adv-3001] rule deny ip destination 10.x.3.0 0.0.0.255 
[RTB-acl-adv-3001]rule deny ip destination 10.x.1.0 0.0.0.7 
[RTB-acl-adv-3001]rule permit ip 

[RTB-acl-adv-3001] quit 

[RTB]interface Ethernet 0/1 

[RTB-Ethernet0/1]firewall packet-filter 3001 inbound 


在 进行 ACL 配置 时 ,一 定 要 注意 分 别 在 两 台 路 由 器 上 配置 的 ACL 规则 之 间 的 关 
联 ,因为 在 本 次 实验 中 ,从 外 部 网 络 访问 分 支 机 构 网 络 需要 在 路 由 器 RTB 的 Ethernet 
0/1 接口 的 inbound 方向 上 和 路 由 器 RTA 的 Serial 1/0 接口 的 inbound 方向 上 进行 两 次 
ACL 规则 的 匹配 。 对 于 外 部 网 络 允许 进入 分 支 机 构 网 络 的 流量 一 定 要 保证 两 次 匹配 均 
为 permit 才 行 。 例 如 ,外 部 网 络 主机 PC, 对 分 支 机 构 网 络 中 PC 的 访问 ,在 路 由 器 RTB 
上 匹配 规则 rule permit ip ,在 路 由 器 RTA 上 同样 匹配 规则 rule permit ip, 因 此 PC, 可 以 
访问 PC; 。 进 一 步 分 析 发 现 ,在 安全 需求 中 第 二 条 要 求 和 第 四 条 要 求实 际 上 完全 相反 ,为 
保证 外 部 网 络 对 分 支 机 构 网 络 中 除 IP 地 址 为 10. x. 1. 1 一 10. x. 1.7 以 外 的 主机 访问 ,在 
路 由 器 RTA 上 满足 第 二 条 要 求 的 规则 只 能 写成 rule deny ip source 10. x. 3. 0 0. 0. 0. 255 
destination 10. x. 1.0 0.0.0.255, 即 需要 做 源 IP 地 址 的 精确 匹配 ,如 果 该 条 规则 写成 了 
rule deny ip destination 10. x. 1.0 0.0.0.255, 则 会 导致 外 部 网 络 主机 访问 分 支 机 构 网 络 
的 正常 流量 被 拒绝 。 

Cisco 设备 参考 命令 如 下 : 


RTA(config) # ip inspect name synl ftp 
RTA(config) # ip inspect name synl tcp 
RTA(config) # ip inspect name synl udp 
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RTA(config) # interface Serial 0/0 

RTA(config-if) # ip inspect synl out 

RTA(config-if) # exit 

RTA(config) # ip access-list extended out2inl 
RTA(config-ext-nacl) # permit ip any 10.x.1.0 0.0.0.7 
RTA(config-ext-nacl) # permit icmp any any echo-reply 
RTA(config-ext-nacl)# deny ip 10.x.3.0 0.0.0.255 10.x.1.0 0.0.0.255 
RTA(config-ext-nacl) # permit ip any any 
RTA(config-ext-nacl) # exit 

RTA(config) # interface Serial 0/0 

RTA(config-if) # ip access-group out2inl in 


RTB(config) # ip inspect name syn2 ftp 

RTB(config) # ip inspect name syn2 tcp 

RTB(config) # ip inspect name syn2 udp 

RTB(config) # interface FastEthernet 0/1 

RTB(config-if) # ip inspect syn2 out 

RTB(config-if) # exit 

RTB(config) # ip access-list extended out2in2 
RTB(config-ext-nacl) # permit tcp any host 10. x.3.1 eq 80 
RTB(config-ext-nacl) # permit tcp any host 10.x.3.1 eq 21 
RTB( config-ext-nacl) # permit icmp any any echo-reply 
RTB(config-ext-nacl) # deny ip any 10.x.3.0 0.0.0.255 
RTB(config-ext-nacl) # deny ip any 10.x.1.00.0.0.7 
RTB(config-ext-nacl) # permit ip any any 
RTB(config-ext-nacl) # exit 

RTB(config) # interface FastEthernet 0/1 

RTB(config-if) # ip access-group out2in2 in 


配置 完成 后 ,进行 如 下 相关 测试 。 

在 分 支 机 构 网 络 主机 PC, 和 PC, 上 使 用 ping 命令 测试 到 达 总 部 网 络 主机 PC 和 外 
部 网 络 主机 PC, 的 联通 性 ,都 可 以 ping 通 ; 总 部 网 络 主机 PCs 可 以 ping 通 外 部 网 络 主 
机 PC,。 

在 分 支 机构 网 络 主机 PC 和 PC 上 可 以 访问 总 部 网 络 主机 PC; 和 外 部 网 络 主机 
PC, 上 的 HTTP 和 FTP 服务 ; 在 总 部 网 络 主机 PC; 上 可 以 访问 外 部 网 络 主机 PC, 上 的 
HTTP 和 FTP 服务 。 

在 总 部 网 络 主机 PC; 上 可 以 ping 通 分 支 机 构 网 络 主机 PC ,无 法 ping 通 分 支 机 构 
网 络 主机 PC; 。 

在 外 部 网 络 主机 PC, 上 应 该 可 以 访问 总 部 网 络 主机 PC: 上 的 HTTP 服务 ,在 外 部 
网 络 主机 PC, 上 应 该 可 以 使 用 主动 模式 访问 总 部 网 络 主机 PC; 上 的 FTP 服务 ; 将 PC 
的 IP 地 址 更 改 为 10. x. 3. 2 一 10. x. 3. 253 区 段 中 的 任何 一 个 地 址 后 ,PC 应 该 将 无 法 访 
间 PC 上 的 HTTP 和 FTP 服务。 

在 外 部 网 络 主机 PC, 上 无 法 ping 通 分 支 机 构 网 络 主机 PC ,可 以 ping 通 分 支 机 构 
网 络 主机 PC; 。 
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人 5. 实验 报告 

RTA 上 高 级 ACL 配置 

RTA 上 ASPF 策略 配置 

RTB 上 高 级 ACL 配置 

RTB 上 ASPF 策略 配置 
PCVPC 访问 PC 的 HTTP| ”是 否 可 以 访问 
服务 匹配 ASPF/CBAC 规则 
PC,/PC: 访问 PC; 的 是 否 可 以 访问 
FTP 服务 匹配 ASPF/CBAC 规则 
PC; 访问 PC, 的 HTTP 是 否 可 以 访问 
服务 匹配 ASPF/CBAC 规则 
PC; 访问 PC, 的 FTP 是 否 可 以 访问 


服务 


匹配 ASPF/CBAC 规则 


PC; ping PC 


是 否 可 以 ping 通 


匹配 ACL 规则 
高 级 ACL 及 ASPF 测试 PC ping PC 是 否 可 以 ping 通 
本 匹配 ACL 规则 
PC, 访问 PC; 的 HTTP 是 否 可 以 访问 
服务 匹配 ACL 规则 
PC, 使 用 主动 模式 访问 人 
PC 的 PIP 服务 匹配 ASPF/CBAC 规则 
PC, ping PC， 是 否 可 以 ping 通 
匹配 ACL 规则 
PC, ping PC 是 否 可 以 ping 通 
匹配 ACL 规则 


2.12.5 ACL 综合 应 用 实 训 2 


实验 学 时 : 2 学 时 。 


每 组 实验 学 生 人 数 : 3 一 4 人 。 


1. 实验 目的 


掌握 在 网 络 中 综合 应 用 ACL 和 ASPF/CBAC 实现 访问 控制 的 能 力 。 


2. 实验 环境 


(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 3 台 


(2) 路 由 器 : 2 台 


(3) 二 层 交 换 机 : 1 台 

(4) UTP 电缆 : 6 条 

(5) Console 电缆 : 2 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 
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3. 实验 内 容 
(1) 配置 高 级 ACL。 
(2) 配置 ASPF/CBAC。 


4. 实验 指导 
(1) 按照 图 2-15 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连 接 。 
RTA 
E0/0 E0/1:10.0.x.2/24 "» 
10.%.1.254/24 i 
1 
tx 
分 支 机 构 
RT! 
En ER 
10x225474 0 e01008 3 
PC PC 
10.x.2.1/24 10.0.x.10/24 


图 2-15 ACL 综合 应 用 实 训 2 


(2) 按照 图 2-15 所 示 为 路 由 器 和 PC 配置 IP 地 址 ,其 中 注意 PC 的 默认 网 关 要 根据 
具体 的 网 络 测试 需求 进行 设置 ,具体 见 配 置 完 成 后 的 测试 部 分 的 要 求 。 交 换 机 保持 空 配 
置 ,在 路 由 器 RTA 和 RTB 上 配置 RIPv2 协议 以 及 配置 默认 路 由 ,实现 整个 网 络 的 联 

(3) 在 PC 和 PC， 上 启动 XAMPP 软件 ,开启 Apache 和 FileZilla 服务 , 即 开启 
HTTP 服务 和 FTP 服务 。 保 证 另外 两 台 主 机 均 可 访问 PC, 和 PCs 的 HTTP 和 FTP 
站 点 。 

(4) 配置 高 级 ACL 和 ASPF/VCBAC ,实现 以 下 安全 需求 。 

@ 分 支 机 构 网 络 可 以 随意 访问 总 部 网 络 和 外 部 网 络 ,包括 各 种 基于 TCP 和 UDP 的 
服务 。 但 总 部 网 络 和 外 部 网 络 均 无 法 主动 访问 分 支 机 构 网 络 。 限 于 分 支 机 构 网 络 的 出 口 
路 由 器 RTB 的 性 能 问题 ,不 能 在 其 上 配置 ASPF 。 

@ 总 部 网 络 可 以 任意 访问 外 部 网 络 ,包括 各 种 基于 TCP 和 UDP 的 服务 。 

@ 外 部 网 络 主机 可 以 访问 总 部 网 络 中 PC, 上 的 HTTP 服务 和 FTP 服务 ,但 不 能 访 
问 总 部 网 络 上 的 其 他 主机 。 

H3C 设备 参考 命令 如 下 : 

[RTA |firewall enable 

[RTA]aspf-policy 1 

[RTA-aspf-policy-1] detect ftp 

[RTA-aspf-policy-1] detect tcp 

[RTA-aspf-policy-1] detect udp 

[RTA-aspf-policy-1] quit 

[RTA|interface Ethernet 0/1 

[RTA-Ethernet0/1]firewall aspf 1 outbound 
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[RTA-Ethernet0/1]quit 

[RTA]acl number 3000 

[RTA-acl-adv-3000]rule permit tcp destination 10.x.1.1 0 destination-port eq 80 
[RTA-acl-adv-3000]rule permit tcp destination 10. x.1.1 0 destination-port eq 21 
[RTA-acl-adv-3000] rule permit icmp icmp-type echo-reply 

[RTA-acl-adv-3000]rule permit udp destination 224.0.0.9 0 destination-port eq 520 
[RTA-acl-adv-3000]rule permit ip source 10.x.2.0 0.0.0.255 destination 10. x.1.0 0.0.0.255 
[RTA-acl-adv-3000]rule deny ip 

[RTA-acl-adv-3000] quit 

[RTA]interface Ethernet 0/1 
[RTA-Ethernet0/1]firewall packet-filter 3000 inbound 


[RTB]firewall enable 
[RTB]acl number 3001 
[RTB-acl-adv-3001]rule permit tcp established 
[RTB-acl-adv-3001 
RTB-acl-adv-3001 
RTB-acl-adv-3001]rule permit ip 

RTB-acl-adv-3001] quit 

[RTB]interface Ethernet 0/1 
[RTB-Ethernet0/1]firewall packet-filter 3001 inbound 


注意 : 在 路 由 器 RTA 上 配置 的 ACL 3000 中 的 第 4 条 规则 rule permit udp 
destination 224. 0. 0. 9 0 destination-port eq 520 ,本 条 规则 是 允许 路 由 器 RTA 接收 来 自 
路 由 器 RTB 的 路 由 更 新 ,如 果 没 有 该 条 规则 , 则 将 导致 路 由 器 RTA 无 法 获知 去 往 分 支 
机 构 网 络 10. x. 2. 0/24 的 路 由 。 

Cisco 设备 参考 命令 如 下 : 


RTA(config) # ip inspect name synl ftp 

RTA(config) # ip inspect name synl tcp 

RTA(config) # ip inspect name synl udp 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # ip inspect synl out 

RTA(config-if) # exit 

RTA(config) # ip access-list extended in2outl 
RTA(config-ext-nacl) # permit tcp any host 10.x.1.1 eq 80 
RTA(config-ext-nacl) # permit tcp any host 10.x.1.1 eq 21 
RTA(config-ext-nacl) # permit icmp any any echo-reply 
RTA(config-ext-nacl) # permit udp any host 224.0.0.9 eq 520 
RTA(config-ext-nacl) # permit ip 10.x.2.0 0.0.0.255 10.x.1.0 0.0.0.255 
RTA(config-ext-nacl) # deny ip any any 

RTA(config-ext-nacl) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # ip access-group out2inl in 


rule deny tcp 
rule deny icmp icmp-type echo 


RTB(config) # ip access-list extended out2in2 
RTB(config-ext-nacl) # permit tcp any any established 
RTB(config-ext-nacl) # deny tcp any any 
RTB(config-ext-nacl) # deny icmp any any echo 
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RTB(config-ext-nacl) # permit ip any any 

RTB(config-ext-nacl) # exit 

RTB(config) # interface FastEthernet 0/1 

RTB(config-if) # ip access-group out2in2 in 

配置 完成 后 ,进行 如 下 相关 测试 。 

首先 将 PC; 的 默认 网 关 设 置 为 10. 0. x. 3, 在 分 支 机 构 网 络 主机 PC。 上 使 用 ping 命 
令 测试 到 达 总 部 网 络 主机 PC, 和 外 部 网 络 主机 PC; 的 联通 性 ,都 可 以 ping 通 ; 但 是 从 总 
部 网 络 主机 PC 上 无 法 ping 通 分 支 机 构 网 络 主机 PC; ,从 外 部 网 络 主机 PC 应 该 也 无 法 
ping 通 分 支 机 构 网 络 主机 PC， 。 

在 分 支 机 构 网 络 主机 PC 上 可 以 访问 总 部 网 络 主机 PC, 和 外 部 网 络 主机 PCs 上 的 
HTTP 和 FTP 服务 。 

将 PC; 的 默认 网 关 设置 为 10. 0. x.2, 在 总 部 网 络 主机 PC, 上 可 以 访问 外 部 网 络 主机 
PC 上 的 HTTP 和 FTP 服务 。 

在 外 部 网 络 主机 PC; 上 可 以 访问 总 部 网 络 主机 PC, 上 的 HTTP 服务 ,在 外 部 网 络 
主机 PC; 上 可 以 使 用 主动 模式 访问 总 部 网 络 主机 PC 上 的 FTP 服务; 将 PC 的 IP 地 址 
更 改 为 10. x. 1. 2 一 10. x. 1. 253 区 段 中 的 任何 一 个 地 址 后 ,PC; 将 无 法 访问 PC, 上 的 
HTTP 和 FTP 服务 。 

注意 对 于 外 部 网 络 主机 PC; 默认 网 关 的 设置 ,在 没有 配置 任何 安全 策略 的 情况 下 ， 
PC 的 默认 网 关 设 置 为 10. 0. x. 2 或 10. 0. x. 3 都 可 以 ,只 是 在 访问 有 些 网 络 的 时 候 ,路 由 
会 多 一 跳 。 例 如 ,将 PC; 的 默认 网 关 设 置 为 10. 0. x. 3, 则 PC 在 访问 总 部 网 络 主机 PC 
时 的 路 由 为 PC; 一 RTB 一 RTA 一 PC , 比 默 认 网 关 设 置 为 10. 0. x. 2 时 的 路 由 PC 
RTA 一 PC 多 了 RTB 这 一 跳 。 但 是 在 配置 了 安全 策略 后 , 则 有 可 能 会 出 现 正常 访问 流 
量 被 拒绝 的 情况 。 在 此 ,依然 由 PC; 访问 总 部 网 络 主机 PC 的 HTTP 或 者 FTP 服务 ,如 
果 默 认 网 关 设置 为 10. 0. x. 3, 则 PCs 的 流量 首先 送 到 路 由 器 RTB, 在 RTB 接口 
Ethernet 0/1 的 inbound 方向 上 会 匹配 规则 rule deny tcp, 从 而 导致 流量 被 拒绝 ,但 将 
PCs 的 默认 网 关 设 置 为 10. 0. x. 2 则 不 会 有 问题 。 反 之 亦 然 ,这 就 是 为 什么 在 测试 时 需要 
更 改 PC; 的 默认 网 关 的 原因 。 


5. 实验 报 告 
RTA 上 高 级 ACL 配置 
RTA E ASPF/CBAC 
策略 配置 
RTB 上 高 级 ACL 配置 
是 否 可 以 ping 通 
PC: ping PC 匹配 ACL 规则 
高 级 ACL ee 是 否 可 以 ping 通 
及 ASPF/CBAC 测试 ee 匹配 ACL 规则 
| 是 否 可 以 ping 通 
Mo/Po pe 匹配 ACL 规则 


到 
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高 级 ACL 
及 ASPF/CBAC 测试 


PC: 访问 PC 上 的 
HTTP/FTP 服务 


是 否 可 以 访问 


续 表 


匹配 ACL 规则 


PC: 访问 PC: 上 的 
HTTP/FTP 服务 


是 否 可 以 访问 


匹配 ACL 规则 


PCi 访问 PC; 上 的 
HTTP 服务 


是 否 可 以 访问 


匹配 ASPF/CBAC 规则 


PC 访问 PC; 上 的 
FTP 服务 


是 否 可 以 访问 


匹配 ASPF/CBAC 规则 


PC; 访问 PC 的 
HTTP 服务 


是 否 可 以 访问 


匹配 ACL 规则 


PC 使 用 主动 模式 
访问 PC 的 FTP 
服务 


是 否 可 以 访问 


匹配 ACL 规则 


匹配 ASPF/CBAC 规则 


网 络 地 址 转换 


本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 网 络 中 使 用 路 由 器 进行 内 外 网 地 址 转 
换 的 配置 问题 。 
必 备 知识 : (1) 静态 NAT。 
(2) NAPT。 
(3) 端口 地 址 重 定向 。 
学 习 目标 : 完成 模拟 公司 分 支 机 构 网 络 内 外 网 地 址 转换 配置 任务 ,解决 公司 内 网 地 
址 资源 不 足 问题 。 


3.1 模拟 公司 分 支 机 构 网 络 地 址 转换 任务 分 析 


由 表 2-9 所 示 的 模拟 公司 IP 地 址 分 配 情况 可 知 ,分 支 机 构 B-1 可 用 的 公共 IP 地 址 
仅 有 62 个 ,但 随 着 该 分 支 机 构 业 务 发 展 ,网 络 不 断 扩大 ,所 分 配 公共 IP 地 址 出 现 不 足 。 
为 解决 IP 地 址 紧张 问题 ,模拟 公司 分 支 机 构 B-1 网 络 内 准备 使 用 私有 地 址 10. 0. 0. 0/24 
替换 原 网 络 中 的 公共 IP 地 址 。 但 使 用 私有 地 址 的 分 支 机 构 网 络 不 能 与 分 支 机 构 以 外 的 
网 络 通信 ,为 满足 分 支 机 构 网 络 以 下 通信 要 求 ,必须 使 用 地 址 转换 技术 对 进出 分 支 机 构 网 
络 的 报 文 进行 地 址 转换 。 

(1) 分 支 机 构 B-1 内 部 网 络 中 服务 器 Serl 向 外 网 同时 提供 网 站 、 邮 件 服务 ,同时 1 台 
“独立 的 ”Web 服务 器 WebSerl 和 1 台独 立 的 邮件 服务 器 MailSerl 也 同时 向 外 网 提供 
服务 。 

(2) 分 支 机 构 8 名 主管 的 办 公用 机 需要 访问 网 络 上 的 多 媒体 服务 。 

(3) 分 支 机 构 B-1 内 部 网 络 中 200 台 主 机 要 能 访问 Internet 资源 。 

(4) 分 支 机 构 B-1 在 其 网 络 内 部 模拟 公司 总 部 生产 网 搭建 了 一 套 生 产 系统 ,该 模拟 
生产 系统 在 分 支 机 构 网 络 内 使 用 了 与 总 部 相同 的 网 络 地 址 200. 100. 11. 0/24, 但 该 生产 
系统 有 时 需要 访问 总 部 生产 网 下 载 部 分 生产 数据 用 于 分 析 研 究 。 

(5) 尽 可 能 节省 公共 IP 地 址 。 

表 3-1 显示 了 分 支 机 构 B-1 内 各 主机 使 用 IP 地 址 情况 。 
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表 3-1 分 支 机 构 B-1 IP 地 址 分 配 情况 


序号 内 网 主机 内 部 本 地 地 址 /网 络 前 缀 网 关 地 址 
1 模拟 生产 系统 10. 0. 0. 0/28 10. 0. 0. 14 
2 Serl 10. 0. 0. 17/28 10. 0.0.30 
WebSerl 10. 0. 0. 18/28 10. 0. 0. 30 
4 MailSerl 10. 0. 0. 19/28 10. 0.0.30 
5 普通 主机 10. 0. 2. 0/24 10. 0. 2. 254 
6 主管 用 机 10. 0. 3. 0/24 10. 0. 3. 254 


3.2 网 络 地 址 转换 的 基本 概念 


网 络 地 址 转换 (Network Address Translation ,NAT) 技 术 最 初 是 作为 缓解 IPv4 地 址 
空间 紧张 的 一 种 解决 方案 引入 的 ,其 主要 作用 就 是 通过 将 私有 IP 地 址 转换 为 合法 的 公有 
IP 地 址 ,使 和 有 网 络 中 的 主机 可 以 通过 共享 少量 的 公有 IP 地址 访问 Internet。 随 着 网 络 
的 爆炸 性 增长 ,IPv4 的 地 址 空间 变 得 非常 紧张 ,租用 公有 IP 地 址 也 变 得 非常 困难 和 昂 
贵 , 因 此 企业 在 组 建 自己 的 私有 网 络 时 ,通常 会 在 企业 内 部 网 络 中 使 用 RFC1918 定义 的 
私有 IP 地 址 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16), 而 在 企业 内 部 网 络 主机 有 
访问 Internet 需求 时 ,在 企业 的 边界 网 关 路 由 器 上 使 用 NAT 技术 将 私有 IP 地 址 转换 到 
租用 的 少量 公有 IP 地 址 上 ,从 而 使 用 少量 的 公有 IP 地 址 来 满足 企业 连接 Internet 的 

除了 可 以 缓解 IPv4 地 址 空间 的 紧张 外 ,NAT 技术 在 客观 上 屏蔽 了 企业 内 部 网 络 的 
真实 IP 地 址 ,一 定 程度 上 保护 了 内 部 网 络 不 受到 外 部 网 络 的 主动 攻击 。 例 如 ,在 使 用 动 
态 NAT 技术 进行 地 址 转换 时 ,内 部 网 络 主机 可 以 访问 外 部 网 络 主机 ,但 外 部 网 络 主机 将 
无 法 主动 访问 内 部 网 络 中 的 主机 ,因此 也 提高 了 企业 内 部 网 络 的 安全 人 性。 

3.2.1 网 络 地 址 转换 的 工作 过 程 

网 络 地 址 转换 一 般 在 网 络 的 边界 由 网 络 地 址 转换 设备 实现 ,例如 配置 了 地 址 转换 功 
能 的 路 由 器 或 防火 墙 。 网 络 地 址 转换 设备 使 用 地 址 转换 表 保 存 私有 IP 地 址 和 公有 IP 地 
址 的 映射 关系 ,并 根据 保存 的 映射 关系 对 IP 地 址 进行 转换 。 典 型 的 网 络 地 址 转换 过 程 如 
图 3-1 所 示 。 

在 PC 访问 外 部 网 络 主机 时 ,其 产生 的 数据 报 文 的 源 IP 地 址 是 PC 在 内 部 网 络 的 
私有 IP 地 址 (内 部 本 地 地 址 )192. 168. 1. 10, 当 数据 报 文 到 达 出 口 路 由 器 的 出 接口 时 ,路 
由 器 将 数据 报 文 的 源 IP 地 址 转换 为 内 部 全 局 地 址 202. 207. 120. 10 ,使 数据 报 文 可 以 在 
公共 网 络 上 路 由 ,并 将 内 部 本 地 地 址 和 内 部 全 局 地 址 的 映射 关系 保存 在 地 址 转换 表 中 ; 
在 返回 的 数据 报 文中 ,目的 IP 地址 为 内 部 全 局 地 址 202. 207. 120. 10 ,在 路 由 器 接收 到 该 
报 文 后 ,根据 地 址 转换 表 中 保存 的 映射 关系 将 目的 IP 地 址 转换 为 内 部 本 地 地 址 
192. 168.1. 10, 并 路 由 给 内 部 网 络 的 目的 主机 PC ,从 而 实现 PC, 和 外 部 网 络 主机 之 间 
的 通信 。 
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地 址 转换 表 
内 部 本 地 地 址 | 内 部 全 局 地 址 
192.168.1.10 | 202.207.120.10 


I ns 外 部 网 络 二 和 二 人) 


192. 1 10/24 


S=192.168.1.10 S=202.207.120.10 


D=202.207.120.78 D=202.207.120.78 


一 | 


S=202.207.120.78 S=202.207.120.78 


D=192.168.1.10 D=202.207.120.10 


和 | 屋 


图 3-1 网 络 地 址 转换 过 程 


注意 : 上 面 给 出 的 只 是 一 个 典型 的 网 络 地 址 转换 过 程 ,实际 上 不 同类 型 的 网 络 地 址 
转换 在 处 理 上 会 有 所 区 别 。 
3.2.2 网 络 地 址 转换 的 类 型 

按照 网 络 地 址 转换 对 象 的 不 同 ,可 以 将 网 络 地 址 转换 分 为 内 部 网 络 地 址 转换 和 外 部 
网 络 地 址 转换 两 种 。 其 中 外 部 网 络 地 址 转换 主要 用 于 内 外 网 使 用 的 IP 地 址 重生 时 , 即 内 


部 网 络 随 意 使 用 了 合法 公 


有 IP 地 址 时 ,将 外 部 网 络 主机 与 内 部 网 络 主机 重 倒 的 公有 IP 


地 址 (外 部 全 局 地 址 ) 在 内 部 网 络 转 换 为 外 部 本 地 地 址 ,由 于 相对 应 用 比较 少 ,因此 在 本 书 


中 不 再 进行 介绍 。 


内 部 网 络 地 址 转换 按照 地 址 转换 的 原理 转换 方式 以 及 应 用 场合 的 不 同 可 以 划分 为 


如 表 3-2 所 示 的 5 种 。 


表 3-2 网 络 地 址 转换 类 型 


网 络 地 址 转换 类 型 说 “ 明 

手工 配置 本 地 地 直到 全 局 地 址 的 二 对 一 的 歇 射 ;适用 于 需要 固定 
和 和 全 直 村人 全 局 IP 地 址 的 内 网 服务 器 
未 地 地 址 到 全 局 地 址 为 一 对 二 映射 "但 映射 关系 不 国定 ,本地 地 
人 址 共享 地 址 池 中 的 全 局 地 址 

本 地 地 址 到 全 局 地 址 使 用 端口 号 实现 动态 的 多 对 一 映射 "可 显著 
本 提高 全 局 地 址 的 利用 率 ,又 称 为 地 址 的 过 载 

网 络 地 址 端口 转换 的 特殊 形式 ,又 称 为 Easy IP， 与 网 络 地 址 端口 
的 地 十 特 村 转换 的 区 别 是 本 地 地 址 均 映 射 到 出 口 路 由 器 的 出 接口 地 址 上 

又 称 为 NAT Server' 手 工 配置 "本 地 地 址 十 端口" 到 * 全 局 地 址 二 
端口 地 址 重 定向 端口 "的 一 对 一 的 映射 。 适 用 于 多 台 内 网 服务 器 映射 到 一 个 全 局 


地 址 的 情况 


司 、 


Db 


\ 


及” 
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使 用 哪 一 种 网 络 地 址 转换 技术 来 进行 地 址 的 转换 需要 根据 网 络 的 具体 需求 来 确定 。 
很 多 时 候 在 同一 个 网 络 中 可 能 会 涉及 多 种 网 络 地 址 转换 技术 。 例 如 , 某 一 企业 中 大 量 的 
内 部 网 络 主机 都 有 访问 Internet 的 需求 ,而 且 企业 内 部 网 络 还 需要 提供 可 以 从 Internet 
进行 访问 的 HTTP 服务 来 进行 企业 宣传 ,这 时 候 就 会 同时 用 到 网 络 地 址 端口 转换 和 静态 
网 络 地 址 转换 两 种 网 络 地 址 转换 技术 。 


3.3 静态 网 络 地 址 转换 


静态 网 络 地 址 转换 是 最 简单 的 一 种 网 络 地 址 转换 形式 。 在 静态 网 络 地 址 转换 中 , 需 
要 手工 配置 从 内 部 本 地 地 址 到 内 部 全 局 地 址 的 一 对 一 映射 关系 ,配置 完成 后 这 些 映 射 关 
系 将 一 直 存 在 ,直到 被 手工 删除 。 静 态 网 络 地 址 转换 一 般 为 需要 对 外 部 网 络 提供 服务 的 
内 网 服务 器 提供 地 址 转换 。 
3.3.1 H3C 设备 静态 NAT 配置 

H3C 设备 静态 网 络 地 址 转换 涉及 的 配置 命令 如 下 : 

[H3C]nat static locaLip global-ip 

[H3C]interface inter face-type inter face-number 

[H3C-Ethernet0/0] nat outbound static 

首先 指定 内 部 本 地 地 址 和 内 部 全 局 地 址 之 间 的 映射 关系 ,然后 在 路 由 器 相应 的 接口 
上 应 用 静态 网 络 地 址 转换 。 

假设 存在 如 图 3-2 所 示 的 网 络 , 要 求 将 内 网 服务 器 的 IP 地 址 静态 转换 到 
202. 207. 120. 100， 使 其 可 以 为 外 部 网 络 提供 HTTP 服务 。 


一 天 
EO0/0 > E0/ 
192.168.1.1/24 _ 202.207.120.1/24 


Web Server PC 
192.168.1.10/24 202.207.120.2./24 
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具体 的 配置 命令 如 下 : 


[H3C]nat static 192.168.1.10 202.207.120.100 
[H3C]interface Ethernet 0/1 
[H3C-Ethernet0/1]nat outbound static 


配置 完成 后 ,在 路 由 器 上 执行 display nat static 命令 ,显示 结果 如 下 : 


[H3C]display nat static 
NAT static information: 
There are currently 1 NAT static configuration(s) 
single static: 
Local-IP : 192.168.1.10 
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Global-IP : 202.207.120.100 
Local-VPN d= 


NAT static enabled information: 
Interface Direction 
Ethernet0/1 out-static 


从 显示 的 结果 可 以 看 出 ,在 路 由 器 上 配置 了 内 部 本 地 地 址 192. 168. 1. 10 到 内 部 全 局 
地 址 202. 207. 120. 100 的 静态 网 络 地 址 转换 ,该 静态 地 址 转换 应 用 到 了 接口 Ethernet0/1 
的 out bound 方向 上 。 

需要 注意 的 是 ,所 有 的 内 部 网 络 地 址 转换 都 需要 应 用 在 出 站 接口 的 outbound 方向 上 。 

此 时 ,在 PC 上 使 用 内 部 全 局 地 址 202. 207. 120. 100 可 以 访问 到 内 网 服务 器 的 Web 
服务 。 进 行 Web 访问 的 同时 在 路 由 器 的 用 户 视图 下 可 以 使 用 debugging nat packet 命令 
查看 网 络 地 址 转换 的 过 程 ,显示 结果 如 下 : 

<H3C> terminal monitor 

<H3C> terminal debugging 

<H3C> debugging nat packet 

Info: NAT packet debugging is enabled! 

<H3C> 

* Nov 15 07:26:47:904 2011 H3C NAT/7/debug: 

(Ethernet0/1-in: )Pro : TCP 

(202.207.120.2: 4981 - 202.207.120.100: 80) 一 一 > 

(202.207.120.2: 4981 -192.168.1.10: 80) 

* Nov 15 07:26:47:906 2011 H3C NAT/7/debug: 

(Ethernet0/1-out: )Pro : TCP 

(192.168.1.10: 80-202.207.120.2: 4981) -一 一 > 

(202.207.120.100: 80 -202.207.120.2: 4981) 


从 显示 的 结果 可 以 看 出 ,在 PC 访问 Web 服务 器 的 数据 报 文 进入 路 由 器 接口 
Ethernet0/1 时 ,会 将 数据 报 文 的 目的 IP 地 址 202. 207. 120. 100 转换 为 内 部 本 地 地 址 
192. 168. 1. 10; 而 在 Web 服务 器 返回 给 PC 的 数据 报 文 从 路 由 器 的 接口 Ethernet0/1 出 
站 之 前 ,会 将 数据 报 文 的 源 IP 地 址 192. 168. 1. 10 转换 为 内 部 全 局 地 址 202. 207. 
120. 100。 

需要 注意 的 是 ,在 H3C 的 设备 上 所 有 的 debug 类 的 命令 都 只 能 在 用 户 视图 下 执行 ， 
而 且 在 使 用 debug 类 命令 进行 系统 调试 之 前 ,需要 先 执 行 terminal monitor 和 terminal 
debugging 命令 。 其 中 ,terminal monitor 命令 用 来 开启 控制 台 对 系统 信息 的 监视 功能 
(该 功能 默认 开启 ,因此 可 以 不 执行 这 条 命令 ); terminal debugging 命令 用 来 开启 调试 信 
息 的 屏幕 输出 开关 ,使 调试 信息 可 以 在 终端 上 进行 显示 。 

在 PC 上 访问 Web 服务 器 后 ,在 路 由 器 上 执行 display nat session 命令 ,显示 结果 如 下 


[H3C] display nat session 

There are currently 1 NAT session : 

Protocol GlobalAddr Port InsideAddr Port DestAddr Port 
ee 202.207.120.100 0 192.168.1.10 0 二 = 
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status:800 TTL:00:05:00 Left:00:04:56 VPN:— 


从 显示 的 结果 可 以 看 出 ,当前 存在 一 个 NAT 会 话 , 为 内 部 本 地 地 址 192. 168. 1. 10 
到 内 部 全 局 地 址 202. 207. 120. 100 的 映射 。 


3.3.2 Cisco 设备 静态 NAT 配置 
Cisco 设备 静态 网 络 地 址 转换 涉及 的 配置 命令 如 下 : 


Router(Cconfig) # ip nat inside source static locaLip global-ip 
Router(config) # interface inter face-type inter face-number 
Router(config-if) # ip nat inside 

Router(config-if) # exit 

Router(config) # interface inter face-type interface-number 
Router(config-if) # ip nat outside 


需要 注意 的 是 ,H3C 设备 上 只 需要 在 连接 外 部 网 络 的 接口 上 配置 nat outbound 命令 
来 应 用 NAT, 与 H3C 不同 ,在 Cisco 设备 上 需要 在 连接 内 部 网 络 的 接口 上 配置 ip nat 
inside, 在 连接 外 部 网 络 的 接口 上 配置 ip nat outside。 

在 此 依然 使 用 图 3-2 所 示 的 网 络 进行 Cisco 设备 静态 NAT 的 配置 ,具体 的 配置 命令 
如 下 : 


Router(config) # ip nat inside source static 192.168.1.10 202.207.120.100 
Router(config) # interface FastEthernet 0/0 

Router(config-if) # ip nat inside 

Router( config-if) # exit 

Router(config) # interface FastEthernet 0/1 

Router(config-if) # ip nat outside 


配置 完成 后 ,在 路 由 器 上 执行 show ip nat translations 命令 ,显示 结果 如 下 : 


Router# show ip nat translations 
Pro Inside global Inside local Outside local Outside global 
< 202.207.120.100 192.168.1.10 = = 


从 显示 的 结果 可 以 看 出 ,在 路 由 器 上 存在 一 条 内 部 本 地 地 址 192. 168. 1. 10 到 内 部 全 
局 地 址 202. 207. 120. 100 的 静态 网 络 地 址 转换 。 

此 时 ,在 PC 上 使 用 内 部 全 局 地 址 202. 207. 120. 100 可 以 访问 到 内 网 服务 器 的 Web 
服务 。 进 行 Web 访问 的 同时 ,在 路 由 器 的 用 户 视图 下 可 以 使 用 debug ip nat 命令 查看 网 
络 地 址 转换 的 过 程 ,显示 结果 如 下 : 


Router # debug ip nat 
IP NAT debugging is on 


Router# 

#* Mar 1 01:48:40.963: NAT: s=202.207.120.2, d= 202.207.120.100->192.168.1.10 
[6358] 

x Mar 1 01:48:40.967: NAT: s=192.168.1.10->202.207.120.100, d= 202. 207. 120. 2 
[6609] 


在 路 由 器 上 执行 show ip nat statistics 命令 查看 NAT 的 统计 信息 ,显示 结果 如 下 : 
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Router# show ip nat statistics 
Total active translations: 1 (1 static, 0 dynamic; 0 extended) 
Outside interfaces: 
FastEthernet0/1 
Inside interfaces: 
FastEthernet0/0 
Hits: 18 Misses: 0 
Expired translations: 0 
Dynamic mappings: 
注意 : 静态 网 络 地 址 转换 由 于 需要 静态 地 指定 从 内 部 本 地 地 址 到 内 部 全 局 地 址 的 一 
对 一 的 映射 ,因此 无 法 实现 IP 地 址 的 节约 。 


3.4 动态 网 络 地 址 转换 


动态 网 络 地 址 转换 又 称 为 Basic NAT, 动 态 网 络 地 址 转换 也 是 一 种 一 对 一 的 映射 关 
系 , 但 是 与 静态 网 络 地 址 转换 不 同 的 是 ,动态 网 络 地 址 转换 的 映射 关系 不 是 一 直 存在 的 ， 
而 是 只 有 在 出 口 路 由 器 的 出 站 接口 上 出 现 符合 地 址 转换 条 件 的 内 网 流量 时 才 会 触发 路 由 
器 进行 网 络 地 址 的 转换 。 而 且 映 射 关 系 不 会 一 直 存 在 ,到达 老化 时 间 以 后 就 会 被 删除 ,以 
便于 将 回收 的 内 部 全 局 地 址 映射 给 其 他 需要 的 内 部 本 地 地 址 。 
3.4.1 H3C 设备 动态 NAT 配置 

H3C 设备 动态 网 络 地 址 转换 涉及 的 配置 命令 如 下 : 

(1) 创建 一 个 ACL 用 于 匹配 需要 进行 动态 网 络 地 址 转换 的 内 部 本 地 地 址 。 

[H3C]acl number act-number 

[H3C-acl-basic-2000] rule [ruleid] {deny|permit) [source {sour-addr sour-wildcard |any)] 

在 NAT 中 使 用 ACL 匹配 内 部 本 地 地 址 时 需要 注意 以 下 3 点 。 

J@ 不 必 使 用 firewall enable 命令 启用 防火 墙 。 

@ ACL 中 只 有 被 显 式 规则 permit 的 源 IP 地 址 才 会 进行 地 址 转换 ,默认 允许 所 有 的 
规则 不 生效 。 

@ 如 果 内 网 中 有 些 特殊 的 IP 地 址 不 需要 做 动态 网 络 地 址 转换 ,例如 ,内 部 服务 器 要 
做 静态 网 络 地 址 转换 , 则 应 将 其 在 定义 ACL 时 首先 deny 掉 。 

(2) 创建 一 个 存放 有 内 部 全 局 地 址 的 地 址 池 。 


[H3C]nat address-group group-number start-addr end-addr 
(3) 在 出 口 路 由 器 的 出 站 接口 上 配置 ACL 与 地 址 池 的 关联 。 
[H3C-Ethernet0/0] nat outbound acL-number address-group group-number no-pat 


注意 : no-pat 参数 表示 是 一 个 Basic NAT 的 转换 ,不 做 地 址 的 过 载 。 
假设 存在 如 图 3-3 所 示 的 网 络 , 要 求 将 内 部 网 络 IP 地 址 段 192. 168. 1. 0/24 动态 转 
换 到 202. 207. 120. 10 一 202. 207. 120. 50 。 
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E0/0:192.168.1.1/24 


E0/1:202.207.120.1/24 


PC PC PCs 
192.168.1.2/24 192.168.1.3/24 202.207.120.2/24 
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具体 的 配置 命令 如 下 : 


[H3C]acl number 2000 

[H3C-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 
[H3C-acl-basic2000]quit 

[H3C]nat address-group 1 202.207.120.10 202.207.120.50 
[H3C]interface Ethernet 0/1 

[H3C-Ethernet0/1]nat outbound 2000 address-group 1 no-pat 


配置 完成 后 ,从 PCi 去 ping PC; ,同时 在 路 由 器 上 执行 debugging nat packet 命令 ， 
显示 结果 如 下 : 


<H3C> debugging nat packet 

Info: NAT packet debugging is enabled! 

<H3C> 

* Nov 15 08:48:17:170 2011 H3C NAT/7/debug: 
(Ethernet0/1-out :)Pro : ICMP 

(192.168.1.2: 512 -202.207.120.2:512) ——> 
(202.207.120.10: 512 -202.207.120.2:512) 

* Nov 15 08:48:17:171 2011 H3C NAT/7/debug: 
(Ethernet0/1-in: )Pro : ICMP 
(202.207.120.2:512 -202.207.120.10:512) 一 一 之 
(202.207.120.2:512 -192.168.1.2:512) 


从 显示 的 结果 可 以 看 出 数据 报 文 在 路 由 器 上 进行 双向 地 址 转换 的 过 程 。 
在 路 由 器 上 执行 display nat session 命令 ,显示 结果 如 下 : 


[H3C]display nat session 
There are currently 2 NAT sessions: 
Protocol GlobalAddr 了 Port InsideAddr Port DestAddr Port 
= 202.207.120.10 sm 192.168.1.2 和 ee 和 
status:NOPAT TTL:00:04:00 Left:00:03:54 VPN:— 


ICMP 202.207.120.10 512 192.168.1.2 512 202.207.120.2 512 
status: NOPAT TTL:00:00:10 Left:00:00:04 VPN:— 


从 显示 的 结果 可 以 看 出 ,当前 存在 两 个 NAT 会 话 ,其 中 一 个 是 内 部 本 地 地 址 


第 3 章 网 络 地 址 转换 


192. 168. 1. 2 到 内 部 全 局 地 址 202. 207. 120. 10 的 映射 ,生存 时 间 为 4min; 另 一 个 为 基于 
ICMP 协议 的 映射 关系 ,是 内 部 本 地 地 址 192. 168. 1. 2 和 端口 号 512 到 内 部 全 局 地 址 
202. 207. 120. 10 和 端口 号 512 的 映射 ,生存 时 间 为 10s。 在 从 PC 去 ping PC 时 ,这 两 
条 会 话 会 同时 出 现 。 关 于 不 同 协议 的 NAT 会 话 生 存 时 间 可 以 通过 display nat aging- 
time 命令 来 查看 。 

其 实在 看 到 上 面 display nat session 显示 的 结果 时 ,还 会 有 一 个 疑问 : ICMP 协议 处 
于 网 络 层 ,ICMP 协议 的 数据 报 文 根 本 不 会 有 传输 层 的 封装 ,因此 也 就 不 可 能 会 有 端口 号 
的 存在 , 那 端口 号 512 又 是 从 哪里 来 的 呢 ? 实际 上 512 并 不 是 端口 号 ,而 是 ICMP 报头 封 
装 中 的 Identifier 字段 ( 即 标识 字段 ) 的 值 。 在 定义 ICMP 协议 的 请 求 注解 文档 RFC792 
中 ,描述 Identifier 字段 可 以 像 TCP 或 UDP 协议 的 端口 号 一 样 来 区 分 不 同 的 ICMP 进 
程 , 但 实际 上 在 特定 的 操作 系统 中 ,ICMP 协议 的 Identifier 字段 是 一 个 定 值 。 例 如 ,在 
Windows XP 系统 中 ,ICMP 协议 封装 中 的 Identifier 字段 的 值 为 0x0200, 即 十 进 制 的 
512, 这 一 点 可 以 在 Wireshark 软件 捕获 的 ICMP 请 求 / 应 答 报 文 的 报头 中 看 到 。 因 此 
Identifier 字段 实际 上 并 不 具备 区 分 进程 的 功能 ,ICMP 进程 的 区 分 实际 上 使 用 的 是 
Sequence number 字段 。 而 Identifier 字段 的 一 个 重要 功能 就 是 在 NAT 中 作为 地 址 映射 
的 依据 ,因此 在 display nat session 命令 的 显示 结果 中 会 看 到 ICMP 协议 的 端口 号 为 
512。Identifier 字段 会 在 NAT 对 ICMP 分 片 报 文 的 处 理 中 发 挥 非常 重要 的 作用 ,在 此 不 
再 进行 介绍 , 感 兴趣 的 学 生 可 以 自行 查阅 相关 资料 。 

在 进行 动态 网 络 地 址 转换 时 ,路 由 器 总 是 会 从 地 址 池 中 拿 第 一 个 可 用 地 址 来 进行 映 
射 ,此 时 如 果 PC 去 ping PC; , 则 会 为 PC; 分 配 内 部 全 局 地 址 202. 207. 120. 11 。 

可 以 在 用 户 视 图 下 使 用 reset nat session 命令 清除 掉 未 到 老化 时 间 的 地 址 映射 关系 。 


3.4.2 Cisco 设备 动态 NAT 配置 
在 Cisco 设备 上 动态 NAT 的 配置 同样 需要 创建 匹配 内 部 本 地 地 址 的 ACL 和 存放 内 
部 全 局 地 址 的 地 址 池 ,涉及 的 命令 如 下 : 


Router(config ) # access-list access list-number {permit|deny) source [source-wildcard] 
Router(config) # ip nat pool pool-name start-addr end-addr netmask netmask 
Router(config) # ip nat inside source list access list-number pool pooL-name 
Router(config) # interface inter face-type inter face-number 

Router(config-if) # ip nat inside 

Router(config-if) # exit 

Router(config) # interface inter face-type inter face-number 

Router(config-if) # ip nat outside 


在 此 依然 使 用 图 3-3 所 示 的 网 络 进行 Cisco 设备 动态 NAT 的 配置 ,具体 的 配置 命令 
如 下 : 


Router(config) # access-list 1 permit 192.168.1.0 0.0.0.255 

Router(config) # ip nat pool dyn-nat 202.207.120.10 202.207.120.50 netmask 255.255.255.0 
Router(config) # ip nat inside source list 1 pool dyn-nat 

Router(config) # interface FastEthernet 0/0 

Router(config-if) # ip nat inside 
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Router(config-if) # exit 

Router(config) # interface FastEthernet 0/1 

Router(config-if) # ip nat outside 

配置 完成 后 ,从 PC, 去 ping PC: ,同时 在 路 由 器 上 执行 debugging nat packet 命令 ， 
显示 结果 如 下 : 

Router# debug ip nat 

IP NAT debugging is on 

Router# 


x*Mar 1 00:08:43.359: NAT: s=192.168.1.2->202.207.120.10, d=202.207.120.2 [7745] 
x*Mar 1 00:08:43.359: NAT * : s=202.207.120.2, d=202.207.120.10->192.168.1.2 [7037] 


在 路 由 器 上 执行 show ip nat translations 命令 ,显示 结果 如 下 : 


Router# show ip nat translations 
Pro Inside global Inside local Outside local Outside global 
202.207.120.10 192.168.1.2 ss 5 


3.5 网 络 地 址 端口 转换 


网 络 地 址 端口 转换 (Network Address Port Translation, NAPT) 又 称 为 端口 地 址 转 
换 (Port Address Translation,PAT) 或 者 地 址 过 载 。 动 态 网 络 地 址 转换 是 一 对 一 的 映射 
关系 , 它 只 是 解决 了 内 外 网 通信 的 问题 ,但 并 没有 真正 意义 上 解决 公有 IP 地 址 不 足 的 问 
题 。 而 NAPT 技术 通过 使 用 同一 个 内 部 全 局 地 址 的 不 同 端 口号 来 标识 不 同 的 内 部 本 地 
地 址 ,实现 多 对 一 的 地 址 转换 ,从 而 实现 公有 IP 地 址 的 节约 。 

在 NAPT 的 转换 过 程 中 ,路 由 器 维护 着 如 表 3-3 所 示 的 动态 地 址 转换 表 , 通 过 端口 
的 映射 关系 使 多 个 内 部 本 地 地 址 转换 到 一 个 内 部 全 局 地 址 上 。 在 进行 地 址 转换 时 ,一 般 
会 尽量 使 用 与 本 地 地 址 端口 相同 的 全 局 地 址 端口 ,但 如 果 该 端口 已 经 被 使 用 , 则 会 选择 最 
小 的 可 用 端口 作为 全 局 地 址 端口 。 


表 3-3 NAPT 地 址 转换 表 


内 部 本 地 地 址 内 部 本 地 地 址 端口 内 部 全 局 地 址 内 部 全 局 地 址 端口 
192. 168.1.2 2000 2000 
192. 168. 1.3 1024 202. 207. 120. 10 1024 
192. 168. 1. 20 1024 1025 


3.5.1 H3C 设备 NAPT 配置 

在 H3C 设 备 上 NAPT 的 配置 方法 与 Basic NAT 基本 相同 ,唯一 的 区 别 是 NAPT 在 
出 口 路 由 器 的 出 站 接口 上 配置 ACL 与 地 址 池 的 关联 时 不 使 用 no-pat 参数 ,表明 是 基于 
端口 的 多 对 一 的 地 址 转换 。 

在 此 依然 使 用 图 3-3 所 示 的 网 络 ,要求 将 内 部 网 络 192. 168. 1. 0/24 使 用 NAPT 技 
术 过 载 到 唯一 的 内 部 全 局 地 址 202. 207. 120. 10 上 。 具 体 的 配置 命令 如 下 : 
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H3C]acl number 2000 

H3C-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 
H3C-acl-basic-2000]quit 

H3C]nat address-group 1 202.207.120.10 202.207.120.10 
H3C]interface Ethernet 0/1 

H3C-Ethernet0/1]nat outbound 2000 address-group 1 


配置 完成 后 ,在 PC 和 PC, 上 分 别 去 ping PC; ,然后 在 路 由 器 上 执行 display nat 
session 命令 ,显示 结果 如 下 : 


[H3C] display nat session 
There are currently 2 NAT sessions: 


Protocol GlobalAddr 了 Port InsideAddr Port DestAddr Port 

ICMP 202.207.120.10 12288 192.168.1.2 512 202.207.120.2 512 
status:11 TTL:00:00:10 Left:00:00:04 VPN:— 

ICMP 202.207.120.10 12289 192.168.1.3 512 202.207.120.2 512 
status:11 TTL:00:00:10 Left:00:00:06 VPN:— 


从 显示 的 结果 可 以 看 出 ,内 部 本 地 地 址 192. 168. 1. 2 和 192. 168. 1. 3 均 转 换 到 了 内 
部 全 局 地 址 202. 207. 120. 10 ,分 别 用 端口 号 12288 和 12289 来 区 分 。 


3.5.2 Cisco 设备 NAPT 配置 

在 Cisco 设备 上 NAPT 的 配置 方法 和 动态 NAT 基本 相同 ,唯一 的 区 别 是 配置 
NAPT 时 在 进行 ACL 和 地 址 池 关联 的 指令 中 增加 了 一 个 overload 参数 ,用 来 表明 是 基 
于 端口 的 多 对 一 的 地 址 转换 。 

在 此 依然 使 用 图 3-3 所 示 的 网 络 , 要 求 将 内 部 网 络 192. 168. 1. 0/24 使 用 NAPT 技 
术 过 载 到 唯一 的 内 部 全 局 地 址 202. 207. 120. 10 上 。 具 体 的 配置 命令 如 下 : 

Router(config) # access-list 1 permit 192.168.1.0 0.0.0.255 

Router(config) # ip nat pool napt 202.207.120.10 202.207.120.10 netmask 255.255.255.0 

Router(Cconfig) # ip nat inside source list 1 pool napt overload 

Router(Cconfig) # interface FastEthernet 0/0 

Router(Cconfig-if) # ip nat inside 

Router(Cconfig-if) # exit 

Router(config) # interface FastEthernet 0/1 

Router(config-if) # ip nat outside 


配置 完成 后 ,在 PC 和 PC, 上 分 别 去 ping PC; ,然后 在 路 由 器 上 执行 display nat 
session 命令 ,显示 结果 如 下 : 

Router# show ip nat translations 

Pro Inside global Inside local Outside local Outside global 

icmp 202.207.120.10:512 192.168.1.2:512 202.207.120.2:512 202.207.120.2:512 

icmp 202.207.120.10:513 192.168.1.3:512 202.207.120.2:512 202.207.120.2:513 

从 显示 的 结果 可 以 看 出 ,内 部 本 地 地 址 192. 168. 1. 2 和 192. 168. 1. 3 均 转 换 到 了 内 
部 全 局 地 址 202. 207. 120. 10 ,分 别 用 端口 号 512 和 513 来 区 分 。 
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3.6 基于 接口 的 地 址 转换 


基于 接口 的 地 址 转换 又 称 为 Easy IP, 是 NAPT 的 一 种 特殊 形式 。 在 NAPT 技术 
中 ,由 于 需要 配置 存放 有 内 部 全 局 地 址 的 地 址 池 , 因 此 需要 预先 确定 可 以 使 用 的 公有 IP 
地 址 范围 ,但 是 在 目前 应 用 非常 广泛 的 ADSL 接 入 中 ,公有 IP 地 址 是 由 服务 提供 商 动态 
分 配 的 ,无 法 提前 预知 ,而 且 服 务 提供 商 只 会 为 用 户 分 配 一 个 公有 IP。 在 这 种 情况 下 ,就 
需要 使 用 Easy IP 技术 来 实现 地 址 转换 。Easy IP 与 NAPT 的 区 别 在 于 它 是 将 内 部 本 地 
地 址 全 部 映射 到 出 口 路 由 器 的 出 站 接口 地 址 上 。 除 了 ADSL 外 ,一 般 在 计算 机 机 房 和 网 
吧 中 也 都 采用 Easy IP 技术 来 进行 地 址 的 转换 ,以 实现 IP 地 址 的 节约 。 
3.6.1 H3C 设备 Easy IP 配置 

由 于 内 部 全 局 地 址 使 用 路 由 器 的 接口 地 址 ,因此 在 Easy IP 的 配置 中 ,不 需要 定义 地 
址 池 , 其 他 配置 与 NAPT 类 似 。 

在 此 依然 使 用 图 3-3 所 示 的 网 络 ,要 求 将 内 部 网 络 192. 168. 1. 0/24 使 用 Easy IP 技 
术 进 行 地址 转换 ,具体 的 配置 命令 如 下 : 
[H3C]acl number 2000 
[H3C-acl-basic2000]rule permit source 192.168.1.0 0.0.0.255 
[H3C-acl-basic-2000] quit 
[H3C]interface Ethernet 0/1 
[H3C-Ethernet0/1]nat outbound 2000 
配置 完成 后 ,在 PC, 和 PC 上 分 别 去 ping PC; ,然后 在 路 由 器 上 执行 display nat 
session 命令 ,显示 结果 如 下 : 


[H3C] display nat session 
There are currently 2 NAT sessions: 


Protocol GlobalAddr Port InsideAddr Port DestAddr Port 

ICMP 202.207.120.1 12288 192.168.1.2 512 202.207.120.2 512 
status:11 TTL:00:00:10 ”Left:00:00:05 VPN:— 

ICMP 202.207.120.1 12289 192.168.1.3 512 202.207.120.2 512 
status:11 TTL:00:00:10 Left:00:00:06 VPN:— 


从 显示 的 结果 可 以 看 出 ,内 部 本 地 地 址 192. 168. 1. 2 和 192. 168. 1. 3 均 转 换 到 了 路 
由 器 接口 Ethernet0/1 的 IP 地 址 202. 207. 120.1 上 。 


3.6.2 Cisco 设备 Easy IP 配置 
在 Cisco 设备 上 Easy IP 的 配置 涉及 的 命令 如 下 : 


Router(config) # access-list access list-number (permit|deny) source [source-wildcard] 

Router( config) # ip nat inside source list access list-number interface interfacetype interface- 
number overload 

Router(config) # interface inter face-type inter face-number 

Router(config-if) # ip nat inside 
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Router(config-if) # exit 

Router(config) # interface inter facetype interface-number 

Router(config-if) # ip nat outside 

在 此 依然 使 用 图 3-3 所 示 的 网 络 ,要求 将 内 部 网 络 192. 168. 1. 0/24 使 用 Easy IP 技 
术 进 行 地 址 转换 ,具体 的 配置 命令 如 下 : 


Router(config) # access-list 1 permit 192.168.1.0 0.0.0.255 

Router(config) # ip nat inside source list 1 interface FastEthernet 0/1 overload 
Router(config) # interface FastEthernet 0/0 

Router(config-if) # ip nat inside 

Router(config-if) # exit 

Router(config) # interface FastEthernet 0/1 

Router(config-if) # ip nat outside 


配置 完成 后 ,在 PC 和 PC。 上 分 别 去 ping PC; ,然后 在 路 由 器 上 执行 show ip nat 
translations 命令 ,显示 结果 如 下 : 

Router# show ip nat translations 

Pro Inside global Inside local Outside local Outside global 

icmp 202.207.120.1:512 192.168.1.2:512 202.207.120.2:512 202.207.120.2:512 

icmp 202.207.120.1:513 192.168.1.3:512 202.207.120.2:512 202.207.120.2:513 

从 显示 的 结果 可 以 看 出 ,内 部 本 地 地 址 192. 168. 1. 2 和 192. 168. 1. 3 均 转 换 到 了 路 
由 器 接口 FastEthernet 0/1 的 IP 地 址 202. 207. 120.1 上。 


3.7 端口 地 址 重 定向 


无 论 是 Basic NAT, 还 是 NAPT 和 Easy IP, 都 是 动态 的 地 址 转换 ,映射 关系 是 由 内 
网 主机 向 外 网 发 出 的 访问 触发 建立 的 ,而 外 网 主机 无 法 主动 连接 内 网 主机 。 对 于 内 网 存 
在 服务 器 的 情况 ,只 能 采用 静态 网 络 地 址 转换 。 但 是 在 有 些 情 况 下 ,公有 IP 地 址 很 少 , 不 
足以 满足 内 网 服务 器 的 静态 转换 需求 。 例 如 ,只 有 一 个 公有 IP 地 址 被 分 配给 出 口 路 由 器 
的 出 站 接口 ,内 网 的 主机 通过 Easy IP 实现 地 址 转换 ,如 果 内 网 存在 服务 器 的 情况 下 , 显 
然 无 法 使 用 静态 网 络 地址 转换 ,这 时 候 就 可 以 使 用 端口 地 址 重 定向 技术 来 实现 。 

端口 地 址 重 定向 又 称 为 NAT Server。 它 通过 将 “内 部 本 地 地 址 十 端口 "静态 地 映射 
到 “内 部 全 局 地 址 十 端口 ”, 从 而 确保 外 网 主机 可 以 主动 访问 内 网 服务 器 某 些 服 务 的 同时 
不 增加 公有 IP 地 址 。 
3.7.1 H3C 设备 NAT Server 配置 

H3C 设备 端口 地 址 重 定向 需要 在 接口 视图 下 进行 配置 ,具体 的 配置 命令 如 下 : 


[H3C-Ethernet0/0] nat server protocol pro-type global global-addr [global-port] inside host-addr 

[host-port] 

在 3.6 节 的 基础 上 ,进行 端口 地 址 重 定向 的 配置 ,要 求 将 内 网 Web 服务 器 192. 168. 1. 2 
通过 NAT Server 静态 映射 到 出 口 路 由 器 出 站 接口 的 80 端口 上 ,使 外 部 网 络 主 机 PCs 可 
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以 访问 PC 的 Web 服务 ,具体 的 配置 命令 如 下 : 


[H3C]interface Ethernet 0/1 
[H3C-Ethernet0/1]nat server protocol tcp global 202.207.120.1 80 inside 192.168.1.2 80 


配置 完成 后 ,在 路 由 器 上 执行 display nat server 命令 ,显示 结果 如 下 : 


[H3C] display nat server 

NAT server in private network information : 
There are currently 1 internal server(s) 
Jnterface: Ethernet0/1，Protocol: 6(tcp) 
Global: 202.207.120.1 : 80(www) 
Local : 192.168.1.2 : 80(www) 


从 显示 的 结果 可 以 看 出 ,在 路 由 器 的 接口 Ethernet0/1 上 配置 了 一 个 基于 TCP 协议 
的 NAT Server, 其 映射 关系 为 “内 部 本 地 地 址 192. 168. 1. 2 十 端口 号 80” 映 射 到 “内 部 全 
局 地 址 202. 207. 120. 1 十 端口 号 80”。 


此 时 在 PC; 的 IE 浏览 器 中 输入 202. 207. 120. 1 ,应 该 可 以 访问 PC 上 的 Web 服务 。 
同时 在 路 由 器 上 执行 debugging nat packet 命令 ,显示 结果 如 下 : 


<H3C> debugging nat packet 

Info: NAT packet debugging is enabled! 

<H3C> 

* Nov 16 03:29:58:867 2011 H3C NAT/7/debug: 
(Ethernet0/l-in: )Pro : TCP is to NAT server 
(202.207.120.2: 2196 -202.207.120.1: 80) 一 一 > 
(202.207.120.2: 2196 -192.168.1.2: 80) 

* Nov 16 03:29:58:868 2011 H3C NAT/7/debug: 
(Ethernet0/1-out:)Pro: TCP is from NAT server 
(192.168.1.2: 80 -202.207.120.2: 2196) 一 一 > 
(202.207.120.1: 80 -202.207.120.2: 2196) 


从 显示 的 结果 可 以 看 出 ,通过 NAT Server 技术 实现 了 “202. 207. 120. 1 十 80” 和 
“192. 168. 1. 2 十 80” 之 间 的 转换 。 


3.7.2 ”Cisco 设备 NAT Server 配置 
Cisco 设备 上 NAT Server 配置 涉及 的 命令 如 下 : 


Router(config) # ip nat inside source static {tcp|udp} locaL-ip local-port global-ip global-port 
Router(config) # interface inter face-type inter face-number 

Router(config-if) # ip nat inside 

Router(config-if) # exit 

Router(config) # interface inter face-type inter face-number 

Router(config-if) # ip nat outside 


在 3.6 节 的 基础 上 ,进行 端口 地 址 重 定向 的 配置 ,要 求 将 内 网 Web 服务 器 192. 168. 1. 2 
通过 NAT Server 静态 映射 到 出 口 路 由 器 出 站 接口 的 80 端口 上 ,使 外 部 网 络 主机 PCs 可 
以 访问 PC 的 Web 服务 ,具体 的 配置 命令 如 下 : 


Router(config) # ip nat inside source static tcp 192.168.1.2 80 202.207.120.1 80 
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Router(config) # interface FastEthernet 0/0 


Router(config-if) # ip nat inside 
Router(config-if) # exit 

Router(config) # interface FastEthernet 0/1 
Router(config-if) # ip nat outside 


配置 完成 后 ,在 路 由 器 上 执行 show ip nat translations 命令 ,显示 结果 如 下 :; 


Router# show ip nat translations 

Pro Inside global Inside local Outside local Outside global 

tcp 202.207.120.1:80 192.168.1.2:80 一 三 

此 时 在 PC; 的 IE 浏览 器 中 输入 202. 207. 120. 1 可 以 访问 PC 上 的 Web 服务 。 同 时 
在 路 由 器 上 执行 debug ip nat 命令 ,显示 结果 如 下 : 

Router# debug ip nat 

IP NAT debugging is on 

Router# 


x*Mar 100:28:43.615: NAT: s=202.207.120.2, d=202.207.120.1->192.168.1.2 [9331] 
x*Mar 1 00:28:43.619: NAT: s=192.168.1.2->202.207.120.1, d=202.207.120.2 [10216] 


3.8 NAT 与 ACL 的 顺序 关系 


通过 对 前 几 节 内 容 的 学 习 , 已 经 知道 NAT 一 般 需 要 应 用 在 出 口 路 由 器 的 出 站 接口 
上 ,而 在 该 接口 上 往往 也 会 应 用 ACL 来 保护 内 部 网 络 的 安全 ,在 这 种 情况 下 就 会 涉及 
ACL 和 NAT 处 理 的 先后 顺序 问题 ,处 理 顺序 的 不 同 会 影响 到 对 ACL 具体 规则 的 定义 。 
不 同 厂 家 的 网 络 设备 在 处 理 顺 序 上 会 有 所 不 同 , 在 这 里 可 以 通过 实验 来 验证 H3C 路 由 器 
对 ACL 和 NAT 的 处 理 顺序 。 

在 此 依然 使 用 图 3-3 所 示 的 网 络 ,为 了 验证 简单 起 见 , 将 内 部 网 络 主机 PC, 和 PC; 的 
IP 地 址 分 别 静态 转换 到 内 部 全 局 地 址 202. 207. 120. 20 和 202. 207. 120. 30 上 。 上 有 具体 的 
配置 命令 如 下 : 

[H3C]nat static 192.168.1.2 202.207.120.20 

[H3C]nat static 192.168.1.3 202.207.120.30 

[H3C]interface Ethernet 0/1 

[H3C-Ethernet0/1]nat outbound static 

配置 完成 后 ,在 PC 或 PC 上 可 以 ping 通 PC;, 并 且 在 路 由 器 上 使 用 display nat 
session 命令 可 以 看 到 内 部 本 地 地 址 192. 168. 1. 2 到 内 部 全 局 地 址 202. 207. 120. 20、 内 部 
本 地 地 址 192. 168. 1. 3 到 内 部 全 局 地 址 202. 207. 120. 30 之 间 的 映射 关系 。 

配置 基本 ACL 并 进行 应 用 ,具体 的 配置 命令 如 下 : 

[H3C]firewall enable 

[H3C]acl number 2000 


[H3C-acl-basic-2000]rule deny source 192.168.1.2 0 
[H3C-acl-basic-2000]rule permit 
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[H3C-acl-basic-2000] quit 

[H3C]inter Ethernet 0/1 

[H3C-Ethernet0/1]firewall packet-filter 2000 outbound 

从 上 面 的 配置 可 以 看 出 ,ACL 2000 中 的 规则 rule 0 的 定义 是 拒绝 源 IP 地 址 为 内 部 
本 地 地 址 192. 168. 1. 2 的 数据 流量 ,该 ACL 被 应 用 在 路 由 器 的 Ethernet 0/1 接口 的 
outbound 方向 上 。 

配置 完成 后 ,在 PC, 上 使 用 ping 命令 测试 到 达 PC; 的 联通 性 ,会 发 现 无 法 联通 。 在 
路 由 器 上 执行 命令 display acl 2000, 显 示 结 果 如 下 :; 

[H3C]display acl 2000 

Basic ACL 2000, named -none-, 2 rules 

ACL's step is 5 

rule 0 deny source 192.168.1.2 0 (4 times matched) 

rule 5 permit 

从 显示 的 结果 可 以 看 出 ,PC 发 出 的 流量 命中 规则 rule 0, 因 而 被 拒绝 。 因 此 通过 推 
断 可 知 ,在 路 由 器 某 个 接口 上 同时 存在 出 站 ACL 和 NAT 时 ,出 站 流量 应 该 是 先 去 匹配 
出 站 ACL ,然后 再 进行 地 址 的 转换 ,具体 如 图 3-4 所 示 。 
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图 3-4 出 站 ACL 与 NAT 的 顺序 关系 


将 ACL 2000 修改 如 下 : 


[H3C]acl number 2000 
[H3C-acl-basic-2000]undo rule 0 
[H3C-acl-basic-2000] rule 0 deny source 202.207.120.20 0 


修改 完成 后 ,在 PC 上 再 次 使 用 ping 命令 测试 到 达 PC; 的 联通 性 ,会 发 现 此 时 可 以 
联通 ,从 而 进一步 验证 了 图 3-4 所 示 的 顺序 关系 。 

实际 上 在 出 口 路 由 器 的 出 站 接口 上 很 少 使 用 出 站 ACL, 而 更 多 的 时 候 是 使 用 入 站 
ACL 来 对 外 部 网 络 需要 进入 内 部 网 络 的 流量 进行 访问 控制 。 为 验证 入 站 ACL 和 NAT 
的 处 理 顺 序 ,在 路 由 器 上 配置 高 级 ACL 并 进行 应 用 ,具体 的 配置 命令 如 下 : 

[H3C] acl number 3000 

[H3C-acl-adv-3000]rule deny ip destination 192.168.1.2 0 

[H3C-acl-adv-3000]rule permit ip 

[H3C-acl-adv-3000] quit 

[H3C]interface Ethernet 0/1 


[H3C-Ethernet0/1]undo firewall packet-filter 2000 outbound 
[H3C-Ethernet0/1]firewall packet-filter 3000 inbound 
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从 上 面 的 配置 可 以 看 出 ,ACL 3000 中 的 规则 rule 0 的 定义 是 拒绝 目的 IP 地 址 为 内 
部 本 地 地 址 192. 168. 1. 2 的 数据 流量 ,该 ACL 被 应 用 在 路 由 器 Ethernet 0/1 接口 的 
inbound 方向 上 。 

注意 : 为 保证 测试 的 简单 和 纯粹 ,在 应 用 ACL 3000 之 前 ,建议 将 ACL 2000 的 应 用 
从 接口 Ethernet 0/1 上 去 掉 。 

配置 完成 后 ,在 PC: 上 使 用 命令 ping 202. 207. 120. 20 测试 到 达 PC 的 联通 性 ,会 发 
现 无 法 联通 。 在 路 由 器 上 执行 命令 display acl 3000, 显 示 结 果 如 下 : 

[H3C]display acl 3000 

Advanced ACL 3000，named -none-, 2 rules 

ACL's step is 5 

rule 0 deny ip destination 192.168.1.2 0 (4 times matched) 

rule 5 permit ip 

从 显示 的 结果 可 以 看 出 ,PC; 发 出 的 流量 命中 规则 rule 0, 因 而 被 拒绝 。 因 此 通过 推 
断 可 知 ,在 路 由 器 某 个 接口 上 同时 存在 入 站 ACL 和 NAT 时 ,入 站 流量 应 该 是 先进 行 地 
址 的 转换 ,然后 去 匹配 入 站 ACL。 具 体 如 图 3-5 所 示 。 
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图 3-5 人 和 站 ACL 与 NAT 的 顺序 关系 


将 ACL 3000 修改 如 下 : 


[H3C]acl number 3000 

[H3C-acl-adv-3000] undo rule 0 

[H3C-acl-adv-3000]rule 0 deny ip destination 202.207.120.20 0 

修改 完成 后 ,在 PC; 上 再 次 使 用 命令 ping 202. 207. 120. 20 测试 到 达 PC 的 联通 性 ， 
会 发 现 此 时 可 以 联通 ,从 而 进一步 验证 了 图 3-5 所 示 的 顺序 关系 。 

注意 : Cisco 路 由 器 在 对 ACL 和 NAT 的 处 理 顺序 上 与 H3C 路 由 器 正好 相反 ,因此 在 
定义 ACL 规则 时 一 定 要 注意 根据 网 络 设备 对 ACL 和 NAT 的 处 理 顺 序 来 决定 是 对 内 部 本 
地 地 址 进行 约束 ,还 是 对 内 部 全 局 地 址 进行 约束 。 对 于 H3C 的 路 由 器 而 言 ,ACL 的 定义 总 
是 约束 内 部 本 地 地 址 ; 而 对 于 Cisco 的 路 由 器 而 言 ,ACL 的 定义 则 总 是 约束 内 部 全 局 地 址 。 


3.9 NAT ALG 技术 
传统 的 NAT 技术 只 能 识别 IP 报头 中 的 IP 地 址 以 及 传输 层 报头 中 的 端口 号 并 对 其 进 


行 转换 ,但 无 法 对 应 用 层 数据 信息 进行 识别 。 然 而 在 实际 的 应 用 中 ,很 多 应 用 层 协议 的 报 文 
中 可 能 会 携带 了 P 地 址 和 端口 号 信息 。 例 如 ,典型 的 多 通道 应 用 层 协议 FTP 需要 在 控制 通 
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道上 对 后 续 的 数据 通道 的 IP 地 址 和 端口 号 进行 协商 ; DNS 响应 报 文中 包含 为 相关 域名 解 
析出 的 IP 地址 ; 网 络 层 协议 ICMP 的 差错 报 文中 也 包含 卫 地 址 。 由 于 无 法 对 上 层 协议 数 
据 载 荷 中 的 卫 地 址 和 端口 号 进行 识别 和 转换 ,因此 传统 的 NAT 技术 往往 会 导致 部 分 应 用 
无 法 正常 使 用 。 而 通过 结合 应 用 层 网 关 (Application Level Gateway, ALG) 技 术 ,NAT 就 
可 以 对 应 用 层 等 上 层 数据 信息 进行 解析 ,并 对 数据 载荷 内 的 IP 地 址 和 端口 号 等 进行 转 
换 , 从 而 保障 上 层 应 用 的 正确 性 。 下 面 就 FTP 协议 来 介绍 NAT ALG 的 具体 应 用 。 

Cisco 和 H3C 在 NAT ALG 的 实现 上 完全 相同 ,在 此 以 H3C 设备 为 例 对 NAT ALG 
在 FTP 中 的 应 用 进行 介绍 。 依 然 使 用 图 3-3 所 示 的 网 络 ,将 内 部 网 络 192. 168. 1. 0/24 
使 用 Easy IP 技术 进行 地 址 转换 。 具 体 的 配置 命令 如 下 : 

[H3C]acl number 2000 

[H3C-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 

[H3C-acl-basic-2000] quit 

[H3C]interface Ethernet 0/1 

[H3C-Ethernet0/1]nat outbound 2000 

配置 完成 后 ,在 PCs 上 启用 FTP 服务 ,然后 在 PC! 上 使 用 主动 模式 访问 PC; 的 FTP 
服务 ,并 分 别 在 PC, 和 PCs 上 使 用 Wireshark 软件 捕获 FTP 数据 报 文 ,具体 如 图 3-6 和 
图 3-7 所 示 。 


Request command: POI 

Request arg: 192,168,1,2,16,42 

Active IP address: 192.168.1.2 (192.168.1.2) 
Active port: 4138 


3-6 PC, 上 的 FTP 报 文 


21 5.278508 202.207.120.2 


Request comm: 
Request arg: 20 


Active Ip address: 玉 沪 3 1 C202.207.120.1) 
Active port: 12289 _ = 


图 3-7 PC: 上 的 FTP 报 文 


第 3 章 网 络 地 址 转换 


从 图 3-6 中 显示 的 结果 可 以 看 出 ,由 PC 发 出 的 进行 数据 通道 协商 的 PORT 报 文中 ， 
Active IP address 为 192. 168. 1. 2, Active port 为 4138, 即 由 PC 告诉 FTP 服务 器 PC 自己 
将 在 I 地址 192. 168. 1. 2 和 端口 4138 上 进行 监听 ,等 待 FTP 服务 器 发 起 数据 连接 。 

从 图 3-7 显示 的 结果 可 以 看 出 ,在 FTP 服务 器 PCs 接收 到 的 PORT 报 文中 , Active 
IP address 已 经 变 成 了 202. 207. 120. 1,Aective port 已 经 变 成 了 12289 ,因此 PC; 会 向 IP 
地 址 202. 207. 120. 1 的 12289 端口 发 起 数据 连接 。 

在 路 由 器 上 执行 display nat session 命令 ,显示 结果 如 下 : 


[H3C]display nat session 
There are currently 2 NAT sessions: 


Protocol GlobalAddr Port InsideAddr Port DestAddr Port 
TCP 202.207.120.1 12288 192.168.1.2 4137 202.207.120.2 21 
status:10 TTL:00:05:00 Left:00:04:23 VPN:— 

TCP 202.207.120.1 12289 192.168.1.2 4138 202.207.120.2 20 


status:251 TTL:00:05:00 Left:00:04:23 VPN:— 


从 显示 的 结果 可 以 看 出 ,对 于 FTP 数据 连接 存在 一 个 NAT 会 话 ,为 *192. 168. 1. 2 十 
4138” 到 “202. 207. 120. 1 十 12289” 的 映射 ,该 映射 是 通过 NAT ALG 技术 实现 的 。 
结合 上 面 的 例子 ,可 知 NAT ALG 对 FTP 报 文 载荷 的 处 理 流程 如 图 3-8 所 示 。 


em 


FTP Server 


> 


PC + 
PCI 和 FTP Server 间 建立 控制 连接 


上 
PCI 发 送 PORT 报 文 
PORT(192.168.1.2.4138) 1 


| 
1 


ALG 处 理 


PORT(202.207.120.1.12289) 


1 FTP Server 向 PC 发 起 数据 连接 
1_202.207.120.220-202.207.120.112289 


上 
ALG 处 理 


202.207.120.2:20 一 192.168.1.2:4138 
一 


数据 通道 建立 双方 进行 数据 传输 


< 


图 3-8 NAT ALG 对 FTP 报 文 载荷 的 处 理 流程 
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在 路 由 器 上 ,默认 NAT ALG 功能 处 于 开启 状态 ; 如 果 处 于 关闭 状态 ,可 以 通过 nat 
alg {allldns|ftp|h3231ils|nbt|pptp|sip} 命 令 开启 对 特定 协议 的 NAT ALG 的 功能 。 不 
同型 号 的 设备 对 于 协议 种 类 的 支持 可 能 会 有 所 区 别 , 要 以 设备 的 实际 情况 为 准 。 


3. 10 模拟 公司 分 支 机 构 地 址 转换 配置 方案 


分 支 机 构 B-1 需要 在 网 络 边界 上 使 用 路 由 器 完成 地 址 转换 任务 。 可 按 表 3-4 所 示 地 
址 转换 方案 配置 边界 路 由 器 ,以 满足 3. 1 节 定 义 的 网 络 地 址 转换 任务 需求 。 


表 3-4 分 支 机 构 网 络 地 址 转换 情况 


地 址 转 内 部 本 全 局 地 | 全 局 | ”外 部 本 
口 
Wi 换 类 型 地 地 址 轩 和 址 前 级 | 端口 | ”地 地 址 
模拟 生产 | 内 部 静 200. 100. 15. 0~ 200. 
系统 kNAT 200.100.11.0/28 | 一 0 二 26 一 一 
总 部 生产 | 外 部 静 加 _ | 200.100.11. 0 一 200. 六 = | 
系统 态 NAT 100. 11. 255 多 
Serl 内 部 部 10. 0. 0. 17/28 一 | 200.100.15.17 26 一 一 
态 NAT 
WebSerl de 10. 0.0. 18/28 80 26 一 一 
on 25 | 200.100.15.18 ee 一 
MailSerl 砍 部 二 10. 0.0. 19/28 26 25 一 
重 定向 lo| 一 
内 部 动 200. 100. 15. 32 一 
普通 主机 态 PAT 10. 0. 2. 0/24 本 26 
内 部 动 200. 100. 15. 48 ~ 
主管 用 机 大 NAT 10. 0. 3.0/24 = nn ln 26 一 一 


(1) 分 支 机 构 的 模拟 生产 系统 中 各 主机 需要 配置 静态 NAT 转换 ,这 样 总 部 可 以 访问 
这 些 主机 。 

(2) 总 部 生产 系统 地 址 与 模拟 生产 系统 地 址 重 酸 ,使 用 外 部 静态 NAT, 将 其 转换 为 
本 地 10. 0. 3.0/24。 

(3) 服务 器 Serl 上 宿主 多 种 服务 ,为 保证 网 络 服务 性 能 ,使 用 内 部 静态 NAT 实现 对 
外 服务 。 

(4) 服务 器 WebSerl、MailSerl 分 别提 供 Web 服务 和 邮件 服务 ,其 服务 端口 不 冲突 ， 
本 着 节省 IP 地 址 资源 的 原则 ,可 以 将 其 转换 为 一 个 公共 IP。 

(5) 内 网 有 200 台 左 右 普通 主机 ,根据 平时 历史 统计 ,每 台 主 机 对 外 并 发 连接 平均 在 
1000 个 左右 ,考虑 到 一 个 公共 地 址 可 以 提供 4000 个 左右 PAT, 则 至 少 需要 5 个 公共 IP 
地 址 ,方案 设计 为 其 预 留 16 个 IP 地 址 。 

(6) 主管 用 机 因为 要 访问 网 络 多 媒体 资源 ,所 以 不 能 使 用 PAT ,考虑 使 用 内 部 动态 NAT 。 


第 3 章 ”网络 地 址 转换 


3.11 小 结 


作为 一 种 缓解 IP 地 址 空间 紧张 的 技术 ,NAT 技术 被 广泛 应 用 在 计算 机 房 、 网 吧 以 及 
中 小 企业 的 网 络 中 。 基 于 模拟 公司 分 支 机 构 对 地 址 转换 的 需求 ,本 章 对 常用 的 几 种 内 部 网 
络 地 址 转换 方式 ,包括 静态 NAT 动态 NAT .NAPT、Easy IP 以 及 端口 地 址 重 定向 的 转换 原 
理 以 及 配置 方法 进行 了 介绍 ,并 简单 介绍 了 NAT 与 ACL 的 顺序 关系 以 及 NAT ALG 技术 。 


3.12 习题 


1. 内 部 网 络 地 址 转换 有 哪 几 种 不 同 的 类 型 ? 
2. 以 下 NAT 技术 中 ,可 以 实现 多 对 一 映射 转换 的 是 ( ) 。 


A. 毅 态 NAT B. 动态 NAT C. Easy IP D. NAT ALG 
3. 在 配置 NAT 时 ,( ) 用 来 确定 哪些 内 部 本 地 地 址 将 被 转换 。 
A. ACL B. 地 址 池 C. 地 址 转换 表 ”D. 进行 NAT 的 接口 


4. 在 H3C 设备 的 一 个 接口 上 同时 存在 ACL 和 NAT 时 ,ACL 应 该 对 内 部 本 地 地 址 
还 是 内 部 全 局 地 址 进行 约束 ? 为 什么 ? 


3.13 实 训 


3.13.1 静态 NAT 与 Easy IP 配置 及 验证 实 训 
实验 学 时 : 4 学时。 
每 组 实验 学 生 人 数 : 4 人 。 
1. 实验 目的 
(1) 掌握 静态 NAT 和 Easy IP 的 配置 方法 。 
(2) 理解 静态 NAT 和 Easy IP 的 工作 原理 及 转换 过 程 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 5 台 
(2) 路 由 器 : 4 台 

(3) 三 层 交换 机 : 1 台 

(4) 二 层 交 换 机 : 1 台 

(5) UTP 电缆 : 11 条 

(6) Console 电缆 : 5 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配 置 。 


3. 实验 内 容 
(1) 配置 静态 NAT。 
(2) 配置 Easy IP。 
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4. 实验 指导 
(1) 按照 图 3-9 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 其 中 交换 机 SWA 与 
路 由 器 RTA、RTB、RTC 和 RTD 分 别 使 用 接口 E1/0/1、E1/0/2、E1/0/3 和 E10/4 相连 。 


RTA 
192.168.x.0/26 


EO/1 


192.168.x.64/26 


10.x.1.0/29 Sa 


92,168.x.128/26 


10.x.1.24/29 
PC; PCs 


192.168.x.192/26 10.0.x.10/24 


PC4 


3-9 静态 NAT 及 Easy IP 配置 及 验证 实 训 


(2) 按照 图 3-9 所 示 为 路 由 器 、 交 换 机 和 PC 配置 IP 地址 ,其 中 路 由 器 的 E0/0 接口 
使 用 相应 网 段 中 的 最 后 一 个 可 用 地 址 ,PC 一 PC, 暂时 使 用 相应 网 段 中 的 第 一 个 可 用 地 
址 ,路 由 器 的 E0/1 接口 和 相连 的 交换 机 SWA 的 接口 分 别 使 用 相应 网 段 的 前 两 个 可 用 地 
址 ,PCs 的 网 关 地 址 设置 为 交换 机 SWA 的 接口 E1/0/24 的 IP 地 址 10.0.x.2。 在 4 台 
由 器 和 交换 机 SWA 上 配置 默认 路 由 保障 整个 网 络 的 联通 性 。 

H3C 设备 参考 命令 如 下 : 


RTA|]interface Ethernet 0/0 
RTA-Ethernet0/0]ip address 192.168.x.62 26 
RTA-Ethernet0/0] quit 

RTA |interface Ethernet 0/1 
RTA-Ethernet0/1]ip address 10.x.1.1 29 
RTA-Ethernet0/0] quit 

RTA]ip route-static 0.0.0.0 0 10.x.1.2 

一 一 其 他 3 台 路 由 器 配置 略 一 一 一 


SWA |]interface Ethernet 1/0/1 

SWA-Ethernet1/0/1]port link-mode route 

SWA-Ethernet1/0/1]ip address 10.x.1.2 29 

[SWA-Ethernetl/0/1] quit 

-一 一 接口 Ethernet 1/0/2、Ethernet 1/0/3、Ethernet 1/0/4 配置 略 一 一 一 
[SWA]interface Ethernet 1/0/24 

SWA-Ethernetl/0/24] port link-mode route 

SWA-Ethernetl/0/24]ip address 10.0.x.2 24 
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[SWA-Ethernet1/0/24] quit 
[SWAJip route-static 0.0.0.0 0 10.0.x.1 


Cisco 设备 参考 命令 如 下 : 


RTA(config) # interface FastEthernet 0/0 

RTA(config-if) #ip address 192.168.x.62 255.255.255.192 
RTA(config-if) # no shutdown 

RTA(config-if) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) #ip address 10.x.1.1 255.255.255.248 
RTA(config-if) # no shutdown 

RTA(config) #ip route 0.0.0.0 0.0.0.0 10.x.1.2 

一 一 其 他 3 台 路 由 器 配置 略 一 一 一 


SWA(config) # ip routing 

SWA(config) # interface FastEthernet 0/1 
SWA(config-if) # no switchport 

SWA(config-if) # ip address 10.x.1.2 255.255.255.248 
SWA(config-if) # exit 

二 一 接口 Ethernet 1/0/2、Ethernet 1/0/3、Ethernet 1/0/4 配置 略 一 一 一 
SWA(config) # interface FastEthernet 0/24 
SWA(config-if) # no switchport 

SWA(config-if) # ip address 10.0.x.2 255.255.255.0 
SWA(config-if) # exit 

SWA(config) # ip route 0.0.0.0 0.0.0.0 10.0.x.1 


配置 完成 后 ,在 4 台 路 由 器 上 使 用 ping 命令 测试 与 外 部 网 络 的 联通 性 ,应 该 可 以 
ping 通 。 但 需要 注意 此 时 PC 一 PC, 均 无 法 联通 外 部 网 络 ,因为 交换 机 SWA 并 不 知道 
PC 所 在 网 段 的 存在 。 在 实际 网 络 应 用 中 也 是 如 此 ,需要 进行 地 址 转换 的 内 部 网 络 对 外 
部 网 络 而 言 是 透明 的 (或 者 说 是 不 存在 的 ) ,外 部 网 络 不 会 知道 使 用 私有 IP 地 址 的 内 部 网 
络 的 存在 ,以 防止 私有 IP 地 址 在 公共 合法 网 络 上 的 泄露 。 

(3) 在 PC 一 PC, 上 启动 XAMPP 软件 ,开启 Apache 服务 ,保证 HTTP 服务 可 以 正 
常 运 行 。 

(4) 在 路 由 器 上 进行 NAT 的 配置 ,要 求 将 路 由 器 连接 PC 的 网 段 中 的 第 一 个 可 用 IP 
地 址 静态 转换 到 路 由 器 与 交换 机 相连 的 网 段 中 最 后 一 个 可 用 IP 地 址 上 ,使 外 部 网 络 可 以 
主动 访问 PC 上 的 HTTP 服务 。 对 于 路 由 器 连接 PC 的 网 段 中 的 其 他 地 址 使 用 Easy IP 
进行 转换 ,使 内 网 主机 可 以 访问 外 部 网 络 。 

H3C 设备 参考 命令 如 下 : 

[RTA]nat static 192.168.x.1 10.x.1.6 

[RTA]acl number 2000 

[RTA-acl-basic-2000]rule deny source 192.168.x.1 0 

[RTA-acl-basic-2000]rule permit source 192.168.x.0 0.0.0.63 

[RTA-acl-basic-2000] quit 


[RTA|interface Ethernet 0/1 
[RTA-Ethernet0/1] nat outbound static 
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[RTA-Ethernet0/1]nat outbound 2000 
一 一 其 他 3 台 路 由 器 配置 略 


Cisco 设备 配置 如 下 : 


RTA(config) # ip nat inside source static 192.168.x.1 10.x.1.6 

RTA(config) # access-list 1 deny host 192.168.x.1 

RTA(config) # access-list 1 permit 192.168.x.0 0.0.0.63 

RTA(config) # ip nat inside source list 1 interface FastEthernet 0/1 overload 

RTA(config) # interface FastEthernet 0/0 

RTA(config-if) # ip nat inside 

RTA(config-if) # exit 

RTA(config) # interface FastEthernet 0/1 

RTACconfig-if) # ip nat outside 

一 一 其 他 3 台 路 由 器 配置 略 一 一 一 

注意 : 在 进行 Easy IP 使 用 的 ACL 的 配置 中 ,对 于 不 需要 进行 Easy IP 转换 的 内 部 
本 地 地 址 要 首先 deny 掉 。 

配置 完成 后 ,在 PCs 的 I 中 分 别 输入 PC 一 PC, 的 内 部 全 局 地 址 来 访问 其 上 的 
HTTP 服务 ,应 该 可 以 访问 。 在 进行 访问 的 同时 ,在 4 台 路 由 器 上 使 用 命令 debugging 
nat packet 或 者 debug ip nat 查看 地 址 转换 的 过 程 , 并 使 用 命令 display nat session 或 者 
show ip nat translations 查看 NAT 会 话 情 况 。 

(5) 将 PC 和 PC; 划分 到 一 组 ,PC 和 PC, 划分 到 一 组 ,将 PCs/PC 的 IP 地 址 修改 
为 相应 网 段 中 非 第 一 个 地 址 的 任意 合法 地 址 ,例如 第 二 个 地 址 ,然后 在 PC 和 PC 的 IE 
中 分 别 输入 同 组 的 PC 或 PC; 的 内 部 全 局 地 址 来 访问 其 上 的 HTTP 服务 ,应 该 可 以 访 
问 。 在 进行 访问 的 同时 ,在 4 台 路 由 器 上 使 用 命令 debugging nat packet 或 者 debug ip 
nat 查看 地 址 转换 的 过 程 , 并 使 用 命令 display nat session 或 者 show ip nat translations 
查看 NAT 会 话 情况 。 

注意 : 在 PC*/PC4 访问 同 组 的 PCIVPCs 的 HTTP 服务 过 程 中 ,实际 上 经 过 两 次 地 
址 转换 ,分 别 为 在 路 由 器 RTB/RTD 上 进行 的 Easy IP 的 转换 ,以 及 在 路 由 器 RTA/RTC 
上 进行 的 静态 地 址 转换 。 具 体 如 图 3-10 所 示 。 


5. 实验 报告 
RTA 
RTB 
NAT 配置 RIC 
RTD 
PC; 访问 PC 的 HTTP InsideAddr 了 Port GlobalAddr Port 
服 务 时 display nat RTA 
session 结果 RTB 
PC, 访问 PC; 的 HTTP InsideAddr 了 Port GlobalAddr 了 Port 
服 务 时 display nat RTC 
session 结果 RTD 


第 3 章 网 络 地 址 转换 


! RTA 


EO/1 
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1 

Ned 

py 
Av 


1 
1 
1 1 
PC; | 1 PC 
1 1 
S=192.168.x.66:3560 ! | s=10.x.1.9:12291 S=10.x.1.9:12291 
D=10.x.1.6:80 | | D=10.x.1.6:80 | D=192.168.x.1:80 
一 一 一 一 一 一 一 > EasylP | 一 一 一 一 一 一 静态 NAT 一 一 一 一 一 一 ~ 
T T 
1 1 
上 1 
1 1 
S=10.x.1.6:80 1 | s=10.x.1.6:80 S=192.168.x.1:80 
1 1 
1 1 
上 1 


D=192.168.x.66:3560 


D=10.x.1.9:12291 


D=10.x.1.9:12291 


一 


一 


-一 


Easy IP 


3-10 两 次 地 址 转换 过 程 


3.13.2 NAT Server 与 Easy IP 配置 及 验证 实 训 
实验 学 时 : 4 学时。 
每 组 实验 学 生 人 数 : 4 人 。 


1. 实验 目的 
(1) 掌握 NAT Server 和 Easy IP 的 配置 方法 。 
(2) 理解 NAT Server、Easy IP 以 及 NAT ALG 的 工作 原理 及 转换 过 程 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 5 台 
(2) 路 由 器 : 4 台 

(3) 三 层 交 换 机 : 1 台 

(4) 二 层 交换 机 : 1 台 

(5) UTP 电缆 : 11 条 

(6) Console 电缆 : 5 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 


3. 实验 内 容 

(1) 配置 NAT Server。 

(2) 配置 Easy IP。 

(3) 查看 并 分 析 NAT ALG 的 工作 过 程 。 


4. 实验 指导 

本 次 实验 依然 使 用 3. 13. 1 小 节 的 网 络 拓扑 结构 。 
(1) 参考 3. 13. 1 小 节 实 验 指导 步骤 (1) 。 

(2) 参考 3. 13. 1 小 节 实 验 指 导 步 又 (2) 。 
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(3) 在 PC 一 PC, 上 启动 XAMPP 软件 ,开启 File Zilla 服务 ,保证 FTP 服务 可 以 正 


(4) 在 路 由 器 上 配置 NAT Server, 要 求 外 部 网 络 通过 路 由 器 E0/1 接口 的 IP 地 址 可 
以 访问 到 内 部 网 络 中 第 一 个 可 用 IP 地 址 主机 上 的 FTP 服务 ; 在 路 由 器 上 配置 Easy IP， 
使 内 网 主机 可 以 访问 外 部 网 络 。 

H3C 设备 参考 命令 如 下 : 

[RTA]interface Ethernet 0/1 

[RTA-Ethernet0/1] nat server protocol tcp global 10.x.1.1 21 inside 192.168.x.1 21 

[RTA-Ethernet0/1] nat server protocol tcp global 10. x.1.1 20 inside 192.168.x.1 20 

Error: Can't use ftp's data connection! 


[RTA-Ethernet0/1] nat outbound 
一 一 -其 他 3 台 路 由 器 配置 略 一 一 一 


Cisco 设备 参考 命令 如 下 : 


RTA (config) # ip nat inside source static tcp 192.168.x.1 21 10.x.1.1 21 

RTA (config) # ip nat inside source static tcp 192.168.x.1 20 10.x.1.1 20 

RTA(config) # interface FastEthernet 0/0 

RTA(config-if) # ip nat inside 

RTA(config-if) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # ip nat outside 

在 上 面 的 配置 中 应 注意 以 下 两 点 。 

对 于 Easy IP 而 言 ,如 果 所 有 的 内 网 IP 地 址 均 需 要 进行 转换 , 则 不 需要 定义 ACL 
去 限定 内 部 本 地 地 址 的 范围。 

@ 在 H3C 设备 上 不 能 .也 不 需要 对 FTP 的 数据 端口 20 进行 NAT Server 的 配置 ， 
因为 在 内 部 网 络 存 在 FTP 服务 器 的 时 候 , 如 果 外 网 主机 使 用 被 动 模式 访问 FTP 服务 器 ， 
则 在 FTP 服务 器 对 外 网 主机 的 PASV 请 求 报 文 的 响应 报 文中 会 包含 自己 的 IP 地 址 和 监 
听 的 端口 ,这 个 处 于 应 用 层 报 文中 的 IP 地 址 和 端口 会 在 路 由 器 上 由 NAT ALG 技术 转 
换 为 合法 公有 的 IP 地 址 以 及 相应 的 端口 ,从 而 保证 外 网 主机 可 以 访问 内 部 网 络 的 FTP 
服务 器 ; 如 果 外 网 主机 使 用 主动 模式 访问 FTP 服务 器 , 则 由 FTP 服务 器 主动 发 起 数据 
连接 ,就 不 再 涉及 NAT ALG 技术 ,NAT Server 技术 会 自动 为 FTP 服务 器 的 数据 端口 
进行 一 个 类 似 Easy IP 的 转换 ,保证 外 网 主机 可 以 访问 内 部 网 络 的 FTP 服务 器 。 

配置 完成 后 ,在 PC; 的 下 中 分 别 输入 4 台 路 由 器 E0/1 接口 的 IP 地址 来 访问 PC 一 
PC 上 的 FTP 服务 (被 动 模式 访问 ), 可 以 访问 。 在 进行 访问 的 同时 ,在 PC; 和 进行 访问 的 
相应 PC 上 分 别 使 用 Wireshark 软件 捕获 FTP 的 数据 报 文 ,查找 其 中 包含 数据 连接 IP 地 址 
和 端口 的 协商 报 文 ,并 进行 比 对 ,理解 NAT ALG 技术 对 多 通道 协议 应 用 层 数 据 的 处 理 。 
在 4 台 路 由 器 上 使 用 命令 debugging nat packet 或 者 debug ip nat 查看 地 址 转换 的 过 程 ， 
并 使 用 命令 display nat session 或 者 show ip nat translations 查看 NAT 会 话 情况 。 

在 PC; 使 用 被 动 模式 访问 PC 上 的 FTP 服务 时 ,分 别 在 PC 和 PC; 上 使 用 
Wireshark 软件 捕获 的 FTP 数据 报 文 如 图 3-11 和 图 3-12 所 示 。 
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=| 口 | x| 


Response code: Entering Passive Mode (227) 
Response arg: Entering Passive Mode (192,168,9,1 
Passive IP address: 192.168.9.1 (192.168.9.1) 
passive port: 1772 

| 


图 3-11 PC 上 的 FTP 报 文 


Response code: Entering Passive Mode (227) 
Response arg: Entering Passive Mode (10,9,1,1,6| 
Passive IP address: 10.9.1.1 (10.9.1.1)| ] 
Passive port: 1772 
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(5) 将 PC 和 PC 划分 到 一 组 ,PC; 和 PC, 划分 到 一 组 ,在 PCs 和 PC, 的 IE 中 分 别 
输入 路 由 器 RTA 和 RTC 的 E0/1 接口 IP 地 址 访问 同 组 的 PC 和 PC: 上 的 FTP 服务 ， 
无 论 使 用 主动 模式 还 是 使 用 被 动 模式 均 可 以 访问 。 

在 使 用 被 动 模式 进行 访问 时 ,将 在 路 由 器 RTA 和 RTC 上 通过 NAT ALG 技术 将 
FTP 服务 器 对 PASV 请 求 报 文 的 响应 报 文中 包含 的 IP 地 址 和 监听 的 端口 进行 转换 ,这 
一 点 在 步骤 (4) 中 进行 了 详细 介绍 ,在 此 不 需要 再 次 进行 抓 包 分 析 。 

在 使 用 主动 模式 进行 访问 时 ,将 在 路 由 器 RTB 和 RTD 上 通过 NAT ALG 技术 将 进 
行 数据 通道 协商 的 PORT 报 文中 包含 的 IP 地 址 和 监听 的 端口 进行 转换 。 在 进行 访问 的 
同时 ,在 PC;/PC, 和 进行 访问 的 同 组 的 PC /PC 上 分 别 使 用 Wireshark 软件 捕获 FTP 
的 数据 报 文 ,查找 其 中 包含 数据 连接 IP 地 址 和 端口 的 协商 报 文 ,并 进行 比 对 ,理解 NAT 
ALG 技术 对 多 通道 协议 应 用 层 数 据 的 处 理 。 在 4 台 路 由 器 上 使 用 命令 debugging nat 
packet 查看 地 址 转换 的 过 程 , 并 使 用 命令 display nat session 查看 NAT 会 话 情况 。 

在 PC; 使 用 主动 模式 访问 PC 上 的 FTP 服务 时 ,分 别 在 PC 和 PC 上 使 用 
Wireshark 软件 捕获 的 FTP 数据 报 文 如 图 3-13 和 图 3-14 所 示 。 


Request command: PORT 

Request arg: 192,168,9,65,8,126 

Active IP address: 192.168.9.65 (192.168.9.65)| 
Active port: 2174 


Request command: PORT 

Request arg: 10,9,1,9,48,2 

Active IP address: 10.9.1.9 (10.9.1.9) 
Active port: 12290 
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在 PC;/PC, 访问 PC1/PC3 上 的 FTP 服务 的 过 程 中 ,涉及 了 Easy IP、NAT Server 
和 NAT ALG 3 种 不 同 的 地 址 转换 技术 。 报 头 中 的 IP 地 址 和 端口 使 用 Easy IP 和 NAT 
Server 技术 经 过 了 两 次 地 址 转换 ,应 用 层 报 文 中 的 IP 地 址 和 端口 使 用 NAT ALG 进行 
了 地 址 转换 。 整 个 访问 过 程 相 对 比较 复杂 ,请 尝试 给 出 主动 /被 动 两 种 不 同 模式 下 进行 
FTP 访问 时 地 址 转换 的 整个 过 程 。 


5. 实验 报告 
RTA 
RTB 
NAT 
配置 
RTD 
Passive IP address| Passive port| Passive IP address| Passive port 


PC; 使 用 被 动 模式 访问 | PC 
PC 一 PC, 的 FTP 服务 | PC; 
时 抓 包 结果 PC 


回国 图 图 


PC: /PC 使 用 主动 模式 
访问 PC1/PC; 的 FTP 
服务 时 抓 包 结果 


Active IP address 


Active port 


第 3 章 网 络 地 址 转换 


Active IP address 


续 表 


Active port 


了 PC。 


PC 


PC 


PCs 


PC:/PC, 使 用 主动 模式 
访问 PC1/PCs 的 FTP 
服务 时 地 址 转换 过 程 


PC:/PC, 使 用 被 动 模式 
访问 PC1/PCs 的 FTP 
服务 时 地 址 转换 过 程 
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VPN 技术 


本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 利用 Internet 线路 进行 安全 通信 配置 


问题 。 


必 备 知识 : (1) VPN 概念 。 


(2) 站 到 站 VPN 配置 。 
(3) 远程 访问 VPN 配置 。 


学 习 目 标 : 完成 在 路 由 器 上 创建 模拟 分 公司 与 分 支 机 构 间 、 分 支 机 构 与 员工 PC 间 
VPN 连接 的 配置 任务 ,保护 基于 Internet 线路 的 网 络 通信 安全。 


4.1 模拟 公司 网 络 安全 通信 配置 任务 分 析 


如 图 4-1 所 示 , 模 拟 分 公司 1 与 分 支 机 构 B-1 间 租 用 Internet 线路 进行 通信 。 为 保 
证 公司 网 络 通信 安全 ,应 达到 以 下 要 求 。 


1 
| 
1 ~— - 
1 a 一 、 
边界 路 由 器 | 网 -一 -= 
边 内 《 A a 
! TT ~ 1d pha 


~ 上 2 公司 后 
夫人 下 的 边界 路 由 器 
c ™ 


分 支 机 构 B-1 分 支 机 构 B-2 
> 一 二 边界 站 由 和 


图 4-1 分 支 机 构 B-1 与 公司 其 他 单位 间 的 网 络 连接 


上 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
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(1) 凡是 分 支 机 构 B-1 与 模拟 分 公司 1 间 的 通信 都 要 受到 加 密 保护 。 

(2) 公司 职员 在 Internet 上 对 分 支 机 构 B-1 内 服务 器 的 远程 访问 受到 加 密 保护 。 

更 进一步 ,要 求 公司 所 有 使 用 Internet 线路 的 网 络 间 进行 通信 时 , 均 应 受到 加 密 
保护 。 


4. 2 VPN 基础 


面 对 诸多 的 网 络 威胁 和 攻击 ,数据 以 明文 的 方式 在 公共 网 络 上 进行 传输 的 时 候 ,很 容 
易 遭 到 恶意 攻击 者 的 窃听 或 者 算 改 。 为 保障 数据 在 公共 网 络 上 传递 的 安全 性 ,产生 了 虚 
拟 专 用 网 (Virtual Private Network,VPN) 技 术 。VPN 技术 通过 使 用 加 密 、 认 证 等 技术 ， 
为 用 户 在 公共 网 络 上 提供 像 专用 网 络 一 样 的 通信 保障 。 

在 网 络 通信 中 ,要 保障 数据 在 传递 过 程 中 的 安全 性 ,必须 要 满足 如 下 3 点 基本 安全 

(1) 数据 的 机 密 性 。 所 谓 机 密 性 (Confidentiality) 是 指 防止 数 据 被 未 经 授权 的 恶意 
窃听 者 所 理解 ,以 保障 在 存储 和 传输 的 过 程 中 数据 内 容 不 被 泄露 。 

(2) 数据 的 完整 性 。 数 据 完整 性 (Data Integrity) 是 指 防止 数据 在 存储 和 传输 的 过 程 
中 被 非法 算 改 ,包括 无 权 者 的 算 改 有 限 权 限 者 的 越权 算 改 以 及 存储 传输 中 的 意外 导致 的 
错误 。 

(3) 数据 发 送 者 的 身份 真实 性 。 数 据 发 送 者 的 身份 真实 性 是 指数 据 接收 者 应 能 够 验 
证 数据 来 自 正确 的 发 送 者 ,而 不 是 由 恶意 攻击 者 伪造 , 男 外 数据 发 送 者 的 身 法 验证 还 具备 
反 拒 认 (Nonrepudiation) 功 能 , 即 数 据 发 送 者 不 能 否认 自己 曾 发 送 过 数据 。 

下 面 分 别 就 以 上 3 点 安全 需求 对 相关 基础 知识 进行 介绍 。 

4.2.1 数据 加 密 技术 

一 般 在 网 络 中 传输 的 数据 都 没有 进行 加 密 处 理 , 此 时 的 数据 称 之 为 明文 ,一 旦 被 恶 
意 攻击 者 窃听 ,内 容 就 会 泄露 。 为 保障 数据 的 机 密 性 就 需要 对 数据 加 密 , 加 密 技术 可 
以 分 为 加 解密 密 钥 和 加 解密 算法 两 部 分 ,加 解密 密 钥 是 在 加 解密 过 程 中 使 用 的 一 串 数 
字 , 作 为 一 个 运算 参数 出 现 ; 加 解密 算法 是 作用 于 加 密 密 钥 和 明文 或 者 解密 密 铀 和 密 
文 的 一 个 数学 函数 。 使 用 加 密 算 法 对 加 密 密 钥 和 明文 运算 得 到 的 结果 即 为 数据 的 密 
文 。 根 据 加 密 算 法 工作 方式 的 不 同 , 可 以 将 加 密 技 术 分 为 对 称 加 密 技术 和 非 对 称 加 密 
技术 两 种 。 


1. 对 称 加 密 技术 

对 称 加 密 技术 又 称 为 秘密 密 钥 加 密 技术 ,在 对 称 加 密 技术 中 ,通信 双方 共享 同一 个 密 
钥 , 加 解密 均 使 用 该 唯一 的 密 钥 来 实现 ,如 图 4-2 所 示 。 

常见 的 对 称 加 密 算 法 有 数字 加 密 标 准 (Digital Encryption Standard,DES) 三重 DES 
(Triple DES) 和 高 级 加 密 标准 (Advanced Encryption Standard,AES) 等 算法 。 

DES 算法 使 用 64bit 的 密 钥 将 64bit 的 明文 数据 块 加 密 产生 64bit 的 密 文 。 在 64bit 
的 密 钥 中 ,其 中 56bit 是 随机 生成 的 ( 即 密 钥 本 身 ) ,其 余 8bit 为 数据 校 验 位 ,每 一 位 校 验 


和 
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4-2 对 称 加 密 技术 


位 对 56bit 的 随机 值 中 的 一 个 7bit 块 进行 校 验 。 

3DES 算法 是 一 种 更 安全 的 DES 算法 的 变种 , 随 着 计算 机 运算 能 力 的 增强 ,DES 算 
法 的 密 钥 变 得 容易 被 暴力 破解 ,在 这 种 情况 下 出 现 了 3DES 算法 。3DES 算法 使 用 3 个 
56bit 的 密 钥 对 数据 进行 3 次 DES 加 密 来 保障 数据 的 机 密 性 ,如 果 3 个 密 钥 互 不 相同 ,就 
相当 于 使 用 了 一 个 168bit 的 密 钥 对 数据 进行 加 密 。3DES 算法 是 DES 算法 向 AES 算法 
过 渡 的 一 种 加 密 标准 。 

AES 算法 又 称 为 Rijndael 算法 , 它 能 够 提供 比 DES 更 强 的 抗 攻 击 能 力 , 并 将 最 终 取 
代 DES 算法 。AES 算法 采用 分 组 密码 体制 , 密 钥 长 度 和 进行 加 密 的 明文 数据 块 可 以 是 
128bit、192bit 或 256bit 中 的 任意 一 个 。AES 使 用 多 轮 的 重复 和 变换 来 提高 数据 的 抗 攻 
击 能 力 。 

对 称 加 密 算法 速度 快 .效率 高 ,适合 于 对 大 量 的 数据 动态 的 数据 流 进行 加 密 。 但 对 
称 加 密 算法 的 安全 性 在 相当 大 的 程度 上 依赖 于 共享 密 钥 本 身 的 安全 性 。 一 旦 共享 密 钥 被 
第 三 方 获知 就 会 造成 数据 的 失 密 。 共 享 密 钥 的 泄露 存在 如 下 两 方面 的 原因 : 

(1) 由 于 通信 双方 使 用 同一 个 密 钥 进行 加 解密 ,因此 在 进行 加 解密 之 前 就 需要 在 通 
信 双 方 之 间 传 递 共享 密 钥 ,而 在 不 安全 的 通信 通道 上 进行 密 钥 交 换 时 有 可 能 造成 共享 密 
钥 的 泄露 。 

(2) 密 钥 一 般 都 会 有 安全 的 时 效 性 ,静态 配置 的 密 钥 只 能 提供 暂时 的 安全 性 , 随 着 时 
间 的 推移 , 密 钥 泄露 的 可 能 性 也 会 逐渐 增 大 。 另 外 ,如 果 采 用 静态 配置 的 共享 密 钥 , N 个 
用 户 之 间 进 行 通信 时 ,每 一 个 用 户 都 需要 维护 (N 一 1) 个 共享 密 钥 , 增 加 了 密 钥 管理 的 复 


杂 度 。 


2. 非 对 称 加 密 技术 

非 对 称 加 密 技术 又 称 为 公开 密 钥 加 密 技术 , 它 为 每 一 个 用 户 分 配 一 对 密 钥 : 其 中 一 
个 密 钥 是 保密 的 ,由 用 户 自己 保管 , 称 之 为 私 钥 ; 另外 一 个 密 钥 是 公开 的 , 称 之 为 公 钥 。 
这 一 对 密 钥 互 为 加 /解密 密 钥 , 即 由 公 钥 加 密 的 数据 可 以 由 私 钥 来 解密 ,而 由 私 钥 加 密 的 
数据 可 以 由 公 钥 来 解密 。 但 是 由 其 中 一 个 密 钥 无 法 计算 出 另 一 个 密 钥 。 非 对 称 加 密 技 术 
的 实现 如 图 4-3 所 示 。 

在 使 用 非 对 称 加 密 技术 对 数据 进行 加 密 时 ,发 送 方 使 用 接收 方 的 公 钥 对 数据 进行 加 
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用 户 
用 户 B 的 公 钥 用 户 B 的 私 钥 


人 一 


God bless| Ge aS0>ZU™ es God bles: 
you! 4a[Q= gj you! 


图 4-3 非 对 称 加 密 技术 


密 ,接收 方 在 接收 到 密 文 数 据 后 ,使 用 自己 的 私 钥 对 数据 进行 解密 。 
目前 最 流行 的 非 对 称 加 密 算法 是 RSA(Rivest-Shamir-Adelman) 算 法 , RSA 算法 由 
Ron Rivest、Adi Shamir 和 Leonard Adelman 共同 开发 , 它 的 原理 基于 一 个 非常 简单 的 事 
实 : 将 两 个 大 素数 相 乘 十 分 容易 ,但 想 要 对 其 乘积 进行 因 式 分 解 却 极其 困难 。 
非 对称 加 密 算 法 由 于 不 再 需要 维护 共同 的 共享 密 钥 ,不必 担心 密 钥 的 泄露 ,因此 非 
对 称 加 密 算法 降低 了 密 钥 管理 的 复杂 度 ,并 且 提供 了 更 好 的 安全 性 。 但 是 非 对 称 加 密 算 
法 加 密 效 率 非常 低 ， RSA 算法 一 般 要 比 DES 算法 慢 1000 倍 左 右 , 因 此 非 对 称 加 密 算法 
很 少 被 应 用 在 数据 加 密 领 域 , 它 实际 上 被 更 多 地 应 用 在 数字 签名 以 及 密 钥 的 交换 和 管 


3. D-H 算法 

由 于 非 对 称 加 密 算 法 效率 低下 ,因此 在 IPSec VPN 中 实际 上 使 用 的 是 对 称 加 密 算法 
来 保障 数据 的 机 密 性 。 但 是 对 称 加 密 算 法 又 存在 共享 密 钥 容易 泄露 的 问题 。 为 了 解决 这 
个 问题 ,一 方面 使 用 一 次 性 密 钥 , 即 每 次 通信 都 更 换 新 的 密 钥 来 保障 密 钥 的 安全 ; 另 一 方 
面 就 需要 设法 使 共享 密 钥 可 以 在 不 安全 的 通信 通道 上 进行 安全 的 传递 ,解决 方法 就 是 使 
用 Diffie-Hellman(D-H) 算 法 来 实现 。D-H 算法 的 工作 原理 如 图 4-4 所 示 。 

具体 的 密 钥 交换 步骤 如 下 。 

(1) 首先 有 两 个 全 局 公开 的 参数 。 素 数 p 和 op 的 一 个 原 根 a, 这 两 个 参数 可 以 由 其 中 
一 个 用 户 选择 产生 并 封装 在 第 一 个 报 文中 告诉 对 端 用 户 。 

(2) 通信 双方 分 别 创建 一 个 大 的 随机 数 Xs 、Xs 作为 自己 的 私 钥 。 

(3) 通信 双方 分 别 使 用 参数 p、a 和 自己 的 私 钥 计 算 生成 自己 的 公 钥 YA 和 Ya ,并 将 
自己 的 公 钥 传递 给 对 端 用 户 。 

(4) 通信 双方 分 别 使 用 参数 p、 对 端的 公 钥 和 自己 的 私 钥 运算 产生 相同 的 结果 K。 

(5) 通信 的 一 方 产生 一 个 临时 密 钥 T 作为 共享 密 钥 ,并 使 用 上 一 步 的 计算 结果 K 作 
为 密 钥 对 其 进行 加 密 。 

(6) 通信 的 另 一 方 接收 到 加 密 后 的 共享 密 钥 后 ,使 用 K 对 其 进行 解密 得 到 共享 密 
钥 工 。 

(7) 通信 双方 使 用 共享 密 钥 T 和 对 称 加 密 算法 对 数据 进行 加 密 和 解密 ,确保 数据 在 
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公开 的 两 个 参数 : p、a 
随机 产生 Xa | YA=axs modp ys vs Ye=axa modp ] 随机 产生 Xe 
-|K=YBxs mod p= K=YA*s mod pl 
产生 临时 密 钥 T | 
使 用 K 加 密 T ST gt 
生成 密 文 STeKTK) | 使 用 K 解 密 ST 得 到 T 
本 1 
例如 /解密 通信 数据 -| 数据 密 文 。 ”|| 使用 T 加 /解密 通信 数据 


图 4-4 D-H 算法 


网 络 中 传输 的 机 密 性 。 

在 D-H 算法 进行 密 钥 交换 的 过 程 中 ,公开 交换 了 参数 p.a、Ya。 和 Ys ,但 是 使 用 这 
4 个 参数 并 不 能 计算 出 通信 双方 的 私 钥 XA 和 Xs ,也 无 法 计算 出 ,从 而 保证 了 一 次 性 共 
享 密 钥 本 的 安全 传递 。D-H 算法 实际 上 就 是 使 用 非 对 称 加 密 技术 来 保障 一 次 性 对 称 密 
钥 交换 的 安全 性 。 

D-H 算法 只 能 用 于 进行 密 钥 的 交换 ,不 能 用 于 数据 加 密 和 数字 签名 等 其 他 目的 。 另 
外 ,D-H 算法 存在 如 下 几 点 不 足 。 

(1) D-H 算法 没有 提供 通信 双方 的 身份 信息 ,无 法 对 对 端 用 户 的 身份 进行 认证 ,因此 
容易 遭受 中 间 人 攻击 ,解决 的 方法 是 在 D-H 消息 交换 的 过 程 中 使 用 数字 证 书 进行 身份 
认证 。 

(2) 由 于 D-H 算法 的 计算 密集 性 ,导致 其 容易 受到 拒绝 服务 攻击 , 即 攻 击 者 请 求 大 
量 的 密 钥 ,导致 被 攻击 者 花费 大 量 的 计算 资源 求解 无 用 的 寡 系 数 。 

(3) D-H 算法 无 法 防止 重 放 攻 击 。 

4.2.2 数据 完整 性 保证 

为 保证 数据 的 完整 性 ,通信 的 接收 方 应 该 可 以 对 接收 到 的 数据 进行 验证 ,以 便 发 现 数 

据 在 传输 过 程 中 是 否 遭 到 了 算 改 ,而 验证 数据 完整 性 一 般 使 用 散 列 算法 来 实现 。 


1. 散 列 算法 

散 列 (Hash) 算 法 是 一 种 单 向 函数 , 它 将 任意 长 度 的 输入 通过 计算 产生 一 个 固定 长 度 
的 输出 ,这 个 输出 称 为 摘要 或 者 散 列 值 。 散 列 算法 具备 如 下 特点 。 

(1) 对 同一 源 数据 反复 进行 散 列 运算 得 出 的 散 列 结果 总 是 相同 。 

(2) 对 源 数据 的 一 个 细小 的 修改 都 会 导致 产生 完全 不 同 的 散 列 值 。 
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(3) 由 于 在 散 列 的 过 程 中 损失 了 信息 ,因此 散 列 具有 不 可 逆 性 , 即 无 法 通过 生成 的 散 
列 值 计算 出 源 数据 。 
使 用 散 列 算法 保障 数据 完整 性 的 过 程 如 图 4-5 所 示 。 


God bless 散 列 
you! 算法 


4-5 数据 完整 性 验证 


发 送 方 在 进行 数据 发 送 之 前 ,首先 使 用 散 列 算法 计算 出 源 数据 的 散 列 值 ,然后 将 源 数 
据 及 其 散 列 值 一 并 发 送 给 接收 方 ; 接收 方 接收 到 数据 后 ,对 接收 到 的 数据 使 用 相同 的 散 
列 算法 计算 出 其 散 列 值 , 并 和 收 到 的 散 列 值 相 比较 ,如 果 两 个 散 列 值 相同 , 则 说 明 数 据 在 
传输 过 程 中 未 被 算 改 。 

常见 的 散 列 算法 包括 消息 摘要 算法 第 5 版 (Message Digest Algorithm 5,MD5) 和 安 
全 散 列 算法 (Secure Hash Algorithm,SHA)。MD5 算法 对 于 任意 长 度 的 输入 计算 产生 
一 个 128bit 的 散 列 值 ; 而 SHA-1 算法 对 于 任意 长 度 的 输入 计算 产生 一 个 160bit 的 散 列 
值 。 相 比较 而 言 ,SHA-1 算法 具有 比 MD5 算法 更 强 的 抗 攻击 能 力 , 但 SHA-1 算法 的 运 
算 速度 比 MD5 算法 要 慢 。 

散 列 算法 还 经 常 与 数字 签名 结合 使 用 来 实现 对 发 送 方 身 份 的 验证 、 反 拒 认 功能 以 及 
保障 数据 的 完整 性 。 

2. 散 列 消息 认证 码 

上 一 节 对 使 用 散 列 算法 保障 数据 的 完整 性 进行 了 介绍 ,实际 上 这 里 会 有 一 个 问题 ; 
由 于 散 列 算法 是 公开 的 ,攻击 者 完全 可 以 在 网 络 中 截获 源 数据 后 对 其 进行 算 改 并 重新 生 
成 散 列 值 ,将 算 改 后 的 数据 和 散 列 值 发 送 给 接收 方 , 而 接收 方 无 法 验证 出 其 是 否 存在 的 完 
整 性 问题 。 对 于 这 个 问题 可 以 使 用 散 列 消息 认证 码 (Hashed Message Authentication 
Code, HMAC) 技 术 来 解决 。 

HMAC 技术 通过 加 密 散 列 来 保障 数据 的 完整 性 , 即 在 使 用 散 列 算法 计算 散 列 值 时 加 
入 了 一 个 随机 生成 的 共享 密 钥 作 为 参数 ,如 图 4-6 所 示 。 

使 用 HMAC 技术 后 ,即使 数据 被 恶意 攻击 者 截获 并 算 改 ,由 于 没有 共享 密 钥 ,攻击 
者 无 法 生成 正确 的 散 列 值 ,接收 方 就 可 以 发 现 其 中 存在 的 完整 性 问题 。 常 用 的 基于 
HMAC 技术 的 的 散 列 算法 有 HMAC-MD5 和 HMAC-SHA1 两 种 ,相对 而 言 HMAC- 
SHA1 有 着 更 好 的 抗 攻击 强度 。 
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4-6 HMAC 过 程 


4.2.3 数字 签名 及 数字 证 书 

在 现实 生活 中 ,为 了 确保 合同 或 者 文件 的 有 效 性 ,往往 需要 对 其 进行 签名 甚至 按 手 
印 。 这 个 签名 实际 上 有 两 个 作用 : 一 方面 表示 签名 者 承认 某 些 事实 或 者 同意 某 种 契约 ， 
事后 不 能 予以 否认 ; 另 一 方面 通过 签名 和 指纹 来 对 签名 者 身份 进行 验证 ,确保 签名 者 身 
份 的 合法 性 和 真实 性 。 而 在 网 络 中 同样 可 以 通过 类 似 的 方式 来 保障 通信 数据 来 自 合法 的 
发 送 方 ,使 用 的 技术 被 称 为 数字 签名 。 

数字 签名 使 用 非 对 称 加 密 技 术 来 实现 。 在 非 对 称 加 密 技术 中 ,两 个 密 钥 互 为 加 /解密 
密 钥 ,加 密 时 发 送 方 使 用 接收 方 的 公 钥 进行 加 密 , 而 接收 方 使 用 自己 的 私 钥 进 行 解密 ,由 
于 接收 方 的 私 钥 只 有 接收 方 自己 知道 ,因此 可 以 保障 数据 的 机 密 性 。 而 既然 私 钥 只 有 用 
户 自 己 知道 , 那 能 不 能 使 用 私 钥 来 作为 用 户 身份 验证 的 依据 呢 ? 数字 签名 正 是 基于 这 样 
的 想法 来 实现 : 发 送 方 在 发 送 数据 时 使 用 自己 的 私 钥 对 数据 进行 加 密 ,而 接收 方 使 用 发 
送 方 的 公 钥 进行 解密 ,如 果 接 收 方 可 以 对 数据 进行 正常 解密 ,就 验证 了 发 送 方 身份 的 真实 
性 ,数字 签名 的 过 程 如 图 4-7 所 示 。 


用 户 A 用 户 B 
用 户 A 的 私 钥 用 户 A 的 公 钥 
二 3 


God bless as0>zu™ -cb - God bless 
you! J4a[Q=^Q youl! 
| 


图 4-7 数字 签名 1 
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通过 图 4-7 所 示 的 数字 签名 过 程 实现 了 对 发 送 方 身份 的 验证 ,但 是 这 里 会 有 一 个 问 
题 : 由 于 非 对 称 加 密 算法 效率 非常 低 , 如 果 对 大 量 的 数据 进行 数字 签名 , 岂 不 是 会 使 系统 
效率 受到 非常 大 的 影响 ? 在 4. 2. 2 小 节 中 对 散 列 算法 进行 了 介绍 ,而 散 列 算法 的 特点 决 
定 了 散 列 值 对 于 源 数 据 的 唯一 性 ,而 且 散 列 值 相对 于 源 数 据 要 小 了 很 多 ,因此 在 实际 应 用 
中 数字 签名 是 通过 对 源 数据 的 散 列 值 进行 签名 来 实现 的 。 在 统计 上 可 以 认为 对 源 数据 的 散 
列 值 进行 签名 和 对 源 数据 本 身 进行 签名 是 等 效 的 ,数字 签名 的 实际 实现 过 程 如 图 4-8 所 示 。 


用 户 A 用 户 B 
用 户 A 的 私 钥 用 户 A 的 公 钥 
| 1 
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God bless 散 列 \、 |YGQ= Q' 
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图 4-8 数字 签名 2 
具体 的 步骤 如 下 : 


(1) 发 送 方 用 户 A 使 用 散 列 算法 计算 出 源 数 据 的 散 列 值 , 并 使 用 自己 的 私 钥 对 散 列 
值 进行 签名 。 

(2) 用 户 A 将 源 数据 和 经 过 签名 的 散 列 值 通过 网 络 发 送 给 接收 方 用 户 B。 

(3) 用 户 B 使 用 用 户 A 的 公 钥 对 接收 到 的 经 过 用 户 A 签名 的 散 列 值 进行 解密 ,得 出 
原始 的 散 列 值 。 

(4) 用 户 B 使 用 与 用 户 A 相同 的 散 列 算法 计算 出 接收 到 的 源 数据 的 散 列 值 。 

(5) 将 两 个 散 列 值 进 行 比较 ,判断 是 否 相同 。 如 果 两 个 散 列 值 相同 , 则 一 方面 对 发 送 
方 用 户 A 的 身份 进行 了 验证 , 另 一 方面 也 保障 了 数据 的 完整 性 。 

目前 常用 于 进行 数字 签名 的 算法 包括 数字 签名 算法 (Digital Signature Algorithm， 
DSA) 和 前 面 介 绍 过 的 RSA 算法 。DSA 算法 的 安全 性 与 RSA 算法 类 似 ,但 DSA 算法 只 
用 于 进行 数字 签名 ,而 一 般 不 用 于 进行 数据 加 密 。 

通过 数字 签名 对 发 送 方 的 身份 进行 验证 ,但 这 个 验证 很 可 能 会 出 现 问题 ,例如 恶意 攻击 
者 冒充 合法 发 送 方 在 网 络 上 发 布 自己 的 公 钥 达到 身份 欺骗 的 目的 。 就 像 在 现实 生活 中 , 签 
名 是 可 以 模仿 的 。 在 现实 生活 中 为 防止 冒充 身份 伪造 签名 ,可 以 在 签名 时 查看 签名 者 由 公 
安 局 核发 的 身份 证 以 确认 其 身份 。 在 数字 签名 中 采用 了 类 似 的 方法 , 即 数字 证 书 技术 。 

与 身份 证 类 似 , 数 字 证 书 由 通信 双方 都 信赖 的 第 三 方 认证 中 心 (Certificate 
Authority,CA) 签 署 发 放 , 用 于 进行 用 户 的 身份 认证 。 数 字 证 书 实际 上 就 是 一 串 包 含 用 
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户 身份 信息 、 用 户 公 钥 以 及 CA 数字 签名 的 字符 串 , 其 主要 内 容 如 下 : 

(1) 证 书 的 序列 号 。 

(2) 证 书 的 有 效 期 。 

(3) 证 书 颁发 机 构 的 名 称 。 

(4) 证 书 申请 者 的 名 称 、 组 织 机 构 信息 或 IP 地 址 等 信息 。 

(5) 证 书 申请 者 的 公 钥 。 

(6) 证 书 颁发 机 构 对 以 上 信息 所 做 的 数字 签名 。 

在 进行 数字 签名 的 过 程 中 ,发 送 方 除了 向 接收 方 发 送 源 数据 和 签名 的 散 列 值 外 ,还 要 
发 送 自 己 的 数字 证 书 , 而 接收 方 通过 发 送 方 的 数字 证 书 获得 发 送 方 的 公 钥 , 而 且 接 收 方 还 
可 以 向 CA 发 送 验 证 请 求 来 验证 发 送 方 数 字 证 书 的 真实 性 和 有 效 性 ,从 而 确保 对 发 送 方 
身份 验证 的 可 靠 性 , 带 有 数字 证 书 的 数字 签名 实现 过 程 如 图 4-9 所 示 。 

用 户 A 用 户 B 


让 


用 户 A 的 私 钥 | 


4 玉生 | 人 " 


1 
YGQ= Q" | YGQ="Q’ CD Q 
MAF4<1 MAF4<1 MAF4<1 
4 


1 
1 
God bless 1 |God bless 散 列 \、 |YGQ= Q' 
you! 1 youl J 算法 MAF4<1 
1 性 
图 4-9 数字 签名 3 


要 验证 用 户 A 的 数字 证 书 ,接收 方 必 须 首先 知道 CA 的 公 钥 。 通 常情 况 下 ,通过 带 
外 处 理 或 者 通过 安装 过 程 中 的 一 项 操作 完成 。 例 如 大 多 数 的 Web 浏览 器 默认 配置 多 个 
CA 的 公 钥 。 

在 通信 中 ,身份 认证 通常 是 双向 的 , 即 发 送 方 和 接收 方 互相 验证 对 端的 身份 。 除 了 使 
用 数字 签名 ,还 可 以 使 用 预 共 享 密 钥 的 方式 进行 身份 认证 。 预 共享 密 钥 需要 手工 为 通信 
双方 配置 相同 的 密 钥 来 互相 进行 身份 的 认证 。 相 对 而 言 预 共 享 密 钥 更 加 简单 ,但 数字 签 
名 的 可 扩展 性 更 好 ,因为 预 共享 密 钥 的 认证 方式 需要 在 每 一 对 进行 通信 的 设备 之 间 手 工 
配置 预 共享 密 钥 ,而 数字 签名 的 认证 方式 只 要 向 CA 申请 了 数字 证 书 ,通信 双方 自动 交换 
数字 证 书 ,自动 通过 数字 签名 的 方式 即 可 进行 身份 的 认证 。 
4.2.4 VPN 拓扑 

根据 VPN 拓扑 结构 的 不 同 ,可 以 将 其 分 为 站 到 站 VPN 和 远程 访问 VPN 两 种 。 


1. 站 到 站 VPN 
站 到 站 VPN 又 称 为 网 络 到 网 络 (LAN-to-LAN)VPN ,在 站 到 站 VPN 中 安全 隧道 两 
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端 连接 的 设备 功能 对 等 ,建立 安全 隧道 时 需要 远 端 对 等 设备 的 IP 地 址 。 站 到 站 VPN 通 
常 在 两 个 网 络 的 边界 路 由 器 或 防火 墙 上 配置 ,来 保护 两 个 特定 网 络 之 间 传 递 数据 的 机 密 
性 和 完整 性 。 

2. 远程 访问 VPN 

远程 访问 VPN 用 于 对 远 端 用 户 , 例 如 出 差 在 外 的 员工 通过 公 网 连接 到 公司 网 络 提 
供 安全 保护 。 远 程 访问 VPN 又 可 以 分 为 由 客户 端 发 起 和 由 网 络 接 人 服务 器 (Network 
Access Server,NAS) 发 起 两 种 。 由 客户 端 发 起 的 远程 访问 VPN 是 由 远 端 用 户 使 用 一 个 
VPN 客户 端 或 者 Web 浏览 器 通过 公 网 建立 到 公司 的 安全 隧道 ; 由 NAS 发 起 的 远程 访 
问 VPN 是 由 远 端 用 户 先 拨 入 一 个 ISP NAS, 然 后 由 NAS 建立 一 条 去 往 公 司 网 络 的 安全 
隧道 ,这 种 隧道 可 以 支持 由 远 端 用 户 发 起 的 多 个 会 话 。 


4.3 站 到 站 VPN 


在 网 络 中 存在 多 种 技术 可 以 建立 安全 隧道 以 实现 VPN ,其 中 最 为 简单 也 是 当前 最 为 
流行 的 是 IPSec(IP Security) 技 术 。IPSec 实现 于 OSI 参考 模型 的 网 络 层 , 它 在 网 络 层 定 
义 了 一 个 安全 框架 来 为 基于 IP 协议 的 上 层 应 用 提供 IPSec 隧道 保护 。 作 为 一 个 可 扩展 
的 体系 ,IPSec 中 可 以 引入 多 种 开放 的 认证 算法 、 加 密 算法 和 密 钥 管理 体制 ,而 不 受 限于 
任何 一 种 特定 算法 。IPSec 协议 簇 包 含 了 进行 数据 的 加 密 、 认 证 以 及 密 钥 交换 等 的 一 系 
列 协议 。 通 过 这 些 协议 和 算法 ,IPSec 在 网 络 中 的 两 个 端点 之 间 提 供 安 全 的 数据 通信 ,这 
些 端点 被 称 为 IPSec 的 对 等 体 (Peer) 。 

4.3.1 IPSec 封装 模式 

IPSec 有 两 种 不 同 的 工作 模式 ,对 应 两 种 不 同 的 工作 模式 分 别 存 在 两 种 不 同 的 报 文 
封装 模式 ,分 别 是 隧道 (Tunnel) 模 式 和 传输 (Transport) 模 式 。 

1. 隧道 模式 

隧道 模式 用 于 在 两 个 网 络 之 间 建 立 IPSec 隧道 ,对 等 体 为 两 个 网 络 的 边界 路 由 器 或 
防火 墙 设备 。 在 隧道 模式 下 ,所 有 的 加 /解密 和 认证 等 均 由 边界 路 由 器 完成 ,这 些 操作 对 
于 进行 通信 的 终端 主机 而 言 是 完全 透明 的 ,如 图 4-10 所 示 。 


(de@ 0 @ 9) 


: IPSec 隧道 


1 
- 
| 普通 报 文 。 |! 


1 T 

1 

1 1 
加 密 报 文 ! 1 
图 4-10 ”隧道 模式 


在 隧道 模式 下 ,IPSec 为 整个 原始 的 IP 报 文 提 供 安全 性 ,用 户 的 整个 IP 报 文 被 加 密 
和 认证 并 产生 IPSec 头 ,然后 将 IPSec 头 和 加 密 后 的 数据 封装 到 一 个 新 的 IP 报 文 中 ,新 
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的 IP 报头 中 的 源 IP 地 址 和 目的 IP 地 址 为 两 个 边界 路 由 器 ( 即 对 等 体 ) 的 IP 地 址 , 报 文 
结构 如 图 4-11 所 示 。 
原始 IP 报 文 
IP 报 头 数据 
! 炒 加 密 1! 
新 IP 报 头 |IPSec 头 | IP 报 头 数据 
隧道 模式 封装 IP 报 广 
4-11 隧道 模式 报 文 结构 


2. 传输 模式 

传输 模式 用 于 在 两 台 进 行 通信 的 终端 主机 之 间 直 接 建 立 IPSec 隧道 ,对 等 体 即 为 进 
行 通信 的 终端 主机 。 在 传输 模式 下 ,所 有 的 加 /解密 和 认证 等 均 由 终端 主机 自行 完成 , 边 
界 路 由 器 仅 执行 正常 的 路 由 转发 ,不 参与 任何 IPSec 的 过 程 ,如 图 4-12 所 示 。 


IPSec 隧道 


| 加 密 报 文 | 
4-12 ”传输 模式 


在 传输 模式 下 ,IPSec 只 对 传输 层 及 以 上 层 的 数据 提供 安全 性 ,传输 层 数 据 被 加 密 和 
认证 并 产生 IPSec 头 ,将 IPSec 头 插 入 到 原始 IP 报 文中 IP 报头 的 后 面 形成 新 的 IP 报 文 ， 
而 原 IP 报头 保持 不 变 , 报 文 结构 如 图 4-13 所 示 。 

两 种 模式 相 比较 而 言 ,隧道 模式 的 安全 性 更 好 ,因为 隧 


道 模式 可 以 对 整个 原 络 IP 报 文 进行 认证 和 加 密 ,并 且 使 用 。 pg 
IPSec 对 等 体 的 IP 地 址 来 隐藏 通信 终端 主机 的 耳 地 址 . 但。 … Dn | 
是 由 于 隧道 模式 产生 了 一 个 额外 的 IP 报头 ,因此 它 会 比 传 全 一 
输 模式 占用 更 多 的 带宽 。 在 实际 应 用 中 ,只 有 在 需要 端 到 六 [名 类 | ?see 天。 到 


的 安全 性 的 时 候 才 会 使 用 传输 模式 ,否则 一 般 都 会 使 用 隧道 。。。 “< 办 棋 式 圭 多 P 报 广 


模式 ,而 且 在 一 些 低 端 的 路 由 器 上 只 支持 隧道 模式 ,而 不 支 。 图 和 3 传输 模式 报 文 结构 
持 传 输 模式 。 
4.3.2 IPSec 封装 协议 

IPSec 有 两 种 不 同 的 安全 封装 协议 ,分 别 是 认证 头 (Authentication Header, AH) 协 
议和 封装 安全 载荷 (Encapsulating Security Payload,ESP) 协 议 。 

1. AH 协议 

AH 协议 通过 散 列 算法 来 提供 数据 源 认证 数据 完整 性 校 验 和 防 报 文 重 放 的 功能 。 
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AH 协议 可 以 保护 数据 在 通信 过 程 中 免 受 自 改 ,但 它 不 能 提供 数据 加 密 的 功能 ,因此 AH 
协议 不 能 保证 数据 的 机 密 性 。AH 协议 适用 于 需要 确保 完整 性 的 一 些 非 机 密 数 据 的 传 


输 。AH 协议 的 IP 协议 号 为 51 。 


在 隧道 模式 下 ,AH 协议 的 验证 和 封装 如 图 4-14 所 示 。 


JP 报头 


数据 


新 IP 报 头 | AH 头 | IP 报 头 


数据 


Er 


HMAC 密 钥 


4-14 隧道 模式 下 AH 封装 


从 图 4-14 中 可 以 看 出 ,AH 协议 对 于 整个 IP 报 文 的 内 容 进行 验证 。 在 隧道 模式 下 ， 


经 AH 协议 封装 的 数据 报 文 如 图 4-15 所 示 。 


加 Frame 17 (118 bytes on wire, 118 bytes captured) 


Ethernet II, Src: Hangzhou_13:54:af (3c:e5:a6:13:54:af) 
昌 Internet Protocol, Src: 10.1.1.2 (10.1.1.2), Dst: 10.1. 


日 Authentication Header 


Next Header: IPIP (Ox04) 
Length: 24 

AH SPI: 0x30ab94ec 

AH Sequence: 1 


AH _ICV: 1B14359CBBC6EDOS32BBC90C 


Internet Protoco1，Src: 192.168.2.2 (192.168.2.2)，Dst: 
Internet Control Message Protocol 


4-15 隧道 模式 下 AH 报 文 


从 图 4-15 中 可 以 看 出 ,在 隧道 模式 下 AH 协议 对 于 报 文 的 封装 结构 与 图 4-13 所 示 
相符 合 , 报 文 从 内 向 外 依次 是 原始 IP 报 文 一 AH 头 一 新 IP 报头 。 在 AH 头 中 包含 了 5 


个 字段 ,分 别 解释 如 下 。 


(1) Next Header: 下 一 报头 协议 号 ,用 于 指定 AH 协议 封装 中 的 数据 报 文 的 协议 类 


区 


计算 机 网 络 安全 与 管理 (第 2 版 ) 


型 ,在 隧道 模式 中 总 是 IP 协议 ,而 在 传输 模式 中 则 可 能 会 是 TCP .UDP 协议 等 。 

(2) Length: AH 报头 的 长 度 , 以 32bit 为 单位 。 

(3) AH SPI: AH 的 安全 参数 索引 (Security Parameter Index) ,长 度 为 32bit, 用 来 
唯一 地 标识 一 个 安全 关联 (Security Association ,SA) 。 

(4) AH Sequence: 从 1 开始 的 单 增 序列 号 ,用 来 防范 重 放 攻 击 。 

(5) AH ICV: AH 的 完整 性 校 验 值 (Integrity Check Value,ICV) ,存放 的 是 AH 通 
过 散 列 算法 得 出 的 验证 数据 (Authentication Data)。 在 对 整个 IP 报 文 做 散 列 计算 时 ， 
AH ICV 取 值 为 0, 最 后 再 将 计算 出 的 散 列 结果 放置 到 该 字段 。 

实际 上 在 AH 头 中 还 存在 一 个 16bit 的 保留 字段 ,该 字段 处 于 Length 字段 之 后 , 取 
值 为 0。 

使 用 AH 协议 进行 封装 时 ,可 选 的 认证 算法 有 HMAC-MD5 和 HMAC-SHA1。 

2. ESP 协议 

ESP 协议 通过 对 称 加 密 算 法 和 散 列 算法 来 提供 加 密 、 数 据 源 认证 ,数据 完整 性 校 验 
和 防 报 文 重 放 的 功能 。ESP 协议 适用 于 需要 确保 机 密 性 的 数据 传输 。ESP 协议 的 IP 协 
议 号 为 50。 

在 隧道 模式 下 ,ESP 协议 的 验证 和 封装 如 图 4-16 所 示 。 


IP 报 头 数据 


加 密 密 钥 


IP 报 头 数据 ESP 尾 


新 [P 报 头 | ESP 头 密 文 ESPICV 
图 4-16 隧道 模式 下 ESP 封装 


从 图 4-16 中 可 以 看 出 ,ESP 协议 先 对 数据 进行 加 密 ,然后 进行 验证 。 与 AH 协议 不 同 
的 是 ,ESP 协议 只 对 ESP 封装 部 分 进行 了 完整 性 的 验证 ,并 没有 对 新 的 报头 的 内 容 进行 
验证 ; 而 AH 协议 则 对 整个 全 报 文 的 内 容 进行 了 完整 性 验证 。 另 外 ,ESP 封装 除了 增加 一 
个 ESP 头 外 ,还 在 报 文 后 面 增加 了 一 个 ESP 尾 。 在 ESP 提供 加 密 服 务 时 ,原始 全 报 文 和 
ESP 尾 均 以 密 文 的 形式 出 现 。 在 隧道 模式 下 ,经 ESP 协议 封装 的 数据 报 文 如 图 4-17 所 示 。 
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Frame 15 (126 bytes on wire, 126 bytes captured) 

田 Ethernet II, Src: Hangzhou_13:54:af (3c:e5:a6:13:54:af) 
田 Internet Protocol, Src: 10.1.1.2 (10.1.1.2), Dst: 10.1. 
日 Encapsulating Security Payload 

ESP SPI: Ox9c411b2a 
ESP Sequence: 1 


图 4-17 隧道 模式 下 ESP 报 文 


从 上 图 中 可 以 看 出 ,在 隧道 模式 下 经 由 ESP 协议 封装 的 报 文 仅 能 够 看 到 ESP SPI 和 
ESP Sequence 两 个 字段 的 内 容 , 其 他 内 容 均 为 密 文 。 

使 用 ESP 协议 进行 封装 时 ,可 选 的 加 密 算法 有 DES、3DES 和 AES, 可 选 的 认证 算法 
有 HMAC-MD5 和 HMAC-SHA1。 

ESP 协议 和 AH 协议 相 比 较 而 言 , 优 点 是 可 以 提供 数据 的 加 密 , 但 ESP 协议 的 数据 
验证 功能 相对 较 弱 。 因 此 在 实际 网 络 通 信 中 可 以 选择 单独 使 用 其 中 的 一 种 协议 ,也 可 以 
选择 同时 使 用 这 两 种 协议 。 在 同时 使 用 AH 协议 和 ESP 协议 时 ,IPSec 会 首先 对 报 文 进 
行 ESP 的 封装 ,然后 再 对 报 文 进行 AH 的 封装 ,封装 之 后 的 报 文 从 内 向 外 依次 是 原始 IP 
报 文 一 ESP 头 一 AH 头 一 新 IP 报头 ,如 图 4-18 所 示 。 


田 Frame 15 (138 bytes on wire, 138 bytes captured) 
Ethernet II, Src: Hangzhou_13:54:af (3c:e5:a6:13:54:af) 


田 [internet Protocol, Src: 10.1.1.2|(10.1.1.2), Dst: 10.1. 
田 |Authentication Header 
Encapsulating Security Payload 


4-18 隧道 模式 下 AH-ESP 报 文 


4.3.3 IPSec 安全 关联 

安全 关联 (Security Association,SA) 是 通信 双方 就 如 何 保证 通信 安全 达成 的 一 个 协 
定 , 它 描述 了 对 等 体 将 如 何 使 用 IPSec 安全 服务 来 保护 网 络 流 量 , 包 括 使 用 ESP 还 是 AH 
协议 进行 数据 封装 .封装 模式 是 隧道 模式 还 是 传输 模式 、 使 用 哪 一 种 加 密 算法 、 使 用 哪 一 
种 散 列 算法 等 。 在 进行 安全 通信 之 前 ,首先 必须 要 在 对 等 体 之 间 建 立 SA。 


™ 
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SA 是 单 向 的 ,一 个 SA 就 是 两 个 对 等 体 之 间 的 一 个 单 向 逻辑 连接 ,在 两 个 对 等 体 之 
间 的 双向 通信 ,需要 两 个 SA 来 分 别 对 两 个 方向 上 的 数据 流 进行 安全 保护 。 另 外 ,SA 还 
是 协议 相关 的 ,AH 协议 和 ESP 协议 都 需要 建立 自己 单独 的 SA。 如果 两 个 对 等 体 之 间 
同时 使 用 AH 协议 和 ESP 协议 进行 安全 通信 , 则 需要 建立 4 个 SA 来 分 别 对 两 个 协议 的 
两 个 方向 上 的 数据 流 进 行 安全 保护 。 

SA 由 一 个 三 元 组 (SPI, 目 的 IP 地 址 ,安全 协议 标识 符 ) 来 做 唯一 的 标识 。 其 中 SPI 
是 一 个 32bit 的 数值 ,用 来 唯一 标识 一 个 SA, 在 4.2.2 节 中 已 经 作 过 介绍 ; 目的 IP 地 址 
即 为 对 端 对 等 体 的 IP 地 址 ; 安全 协议 标识 符 是 指 封装 协议 AH 或 ESP。 

在 IPSec 设备 中 ,存在 安全 策略 数据 库 (Security Policy Database, SPD) 和 安全 关联 
数据 库 (Security Association Database,SAD) 。 在 SPD 中 存储 着 设备 上 已 经 配置 了 的 安 
全 策略 ,安全 策略 的 内 容 包 括 对 哪些 数据 提供 安全 服务 ,提供 的 安全 服务 使 用 的 封装 协 
议 ,封装 模式 .加密 算 法 . 散 列 算法 等 。 在 SAD 中 存储 着 设备 上 处 于 活跃 状态 的 所 有 SA。 
在 IPSec 设备 上 ,对 于 出 站 数据 报 文 首先 将 其 与 SPD 中 的 安全 策略 相 比 较 , 如 果 匹 配 了 
其 中 的 一 项 安全 策略 , 则 系统 就 会 使 用 该 项 安全 策略 在 SAD 中 对 应 的 SA 对 数据 报 文 进 
行 加 密 认证 等 处 理 , 如 果 在 SAD 中 不 存在 相对 应 的 SA, 则 需要 首先 建立 一 个 SA。 

SA 可 以 通过 手工 配置 和 自动 协商 两 种 方式 建立 。 手 工 配置 方式 需要 用 户 在 通信 的 
对 等 体 两 端 配置 创建 SA 所 需 的 全 部 信息 ,配置 相对 比较 复杂 ,而 且 无 法 支持 一 些 例如 定 
时 更 新 密 钥 等 的 高 级 特性 。 自 动 协商 方式 由 互联 网 密 钥 交换 (Internet Key Exchange， 
IKE) 协 议 基于 对 等 体 的 SPD 自动 协商 建立 和 维护 SA, 不 需要 用 户 的 干预 ,配置 相对 比 
较 简 单 。 在 手工 配置 SA 时 ,需要 手工 指定 SPI 的 取 值 ,而 在 IKE 协商 建立 SA 时 ,SPI 
将 随机 生成 。 在 进行 通信 的 对 等 体 设备 数量 较 少 时 ,或 是 在 小 型 静态 环境 中 ,可 以 采用 手 
工 配置 方式 建立 SA; 而 在 大 中 型 的 动态 网 络 环境 中 ,建议 使 用 IKE 协商 建立 SA。 另 
外 ,在 Web 界面 配置 IPSec VPN 时 ,只 支持 采用 IKE 自动 协商 方式 建立 SA。 

4.3.4 IKE 协议 

IKE 协议 是 一 个 混合 型 协议 , 它 采 用 了 互联 网 安全 关联 和 密 钥 管理 协议 (Internet 
Security Association and Key Management Protocol,ISAKMP) 所 定义 的 密 钥 交换 框架 
体系 ,工作 于 UDP 的 500 端口 上 。IKE 为 IPSec 提供 了 对 等 体 身份 认证 、 自 动 协商 交换 
密 钥 以 及 建立 IPSec SA 的 服务 ,简化 了 IPSec 的 配置 和 维护 管理 工作 。 

IKE 具有 一 套 自 保护 机 制 ,可 以 在 不 安全 的 网 络 上 安全 地 认证 身份 .分 发 密 钥 并 建 
立 IPSec SA。IKE 定义 了 一 个 两 阶段 的 工作 模型 ,通过 两 个 阶段 为 IPSec 协商 并 建 
立 SA。 


1. 建立 ISAKMP SA 

在 第 一 个 阶段 ,首先 在 对 等 体 之 间 经 协商 建立 起 一 个 通过 身份 认证 和 安全 保护 的 通 
道 , 即 建立 一 个 ISAKMP SA .来 为 第 二 个 阶段 的 协商 提供 安全 服务 。 第 一 个 阶段 协商 的 
主要 内 容 包 括 : 第 一 阶段 使 用 的 加 密 和 散 列 算法 ; 使 用 D-H 算法 生成 并 交换 会 话 密 钥 资 
料 ; 对 等 体 的 身份 认证 等 。 第 一 阶段 的 协商 有 主 模 式 (Main Mode) 和 野蛮 模式 
(Aggressive Mode) 两 种 。 


主 模式 使 用 6 条 消息 协商 并 建立 ISAKMP SA。 
容 如 下 。 
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这 6 条 消息 分 成 3 对 ,具体 协商 内 


(1) 第 一 对 消息 称 为 SA 交换 消息 ,用 来 协商 确认 第 一 阶段 的 安全 策略 。 协 商 的 内 
容 包括 散 列 算法 、 加 密 算法 、 身 份 认证 方式 .D-H 组 和 SA 的 生存 周期 等 5 个 元 素 。 

(2) 第 二 对 消息 称 为 密 钥 交 换 消 息 , 用 来 交换 D-H 的 公开 参数 和 辅助 数据 ,并 由 对 
等 体 分别 独 立 计算 出 共同 的 秘密 KK。 后 续 所 有 的 加 密 和 散 列 使 用 的 密 钥 都 由 K 衍生 


而 来 。 


(3) 第 三 对 消息 是 ID 信息 和 认证 数据 交换 信息 ,对 等 体 互相 进行 身份 认证 并 对 整个 


第 一 阶段 交换 的 内 容 进 行 认证 。 

主 模式 的 协商 过 程 如 图 4-19 所 示 。 

野蛮 模式 只 交换 3 条 信息 来 进行 第 一 阶段 的 协 
商 , 因 此 野蛮 模 式 可 以 提高 协商 的 速度 ,但 是 野蛮 模 
式 不 能 提供 对 对 等 体 身份 的 保护 ,一 般 用 于 对 身份 
保护 要 求 不 高 的 场合 。 


2. 建立 IPSec SA 

在 第 二 个 阶段 ,使 用 在 第 一 个 阶段 建立 的 安全 
通道 交换 信息 ,协商 建立 用 于 传输 IP 业务 数据 的 安 
全 通道 IPSec SA。 第 二 个 阶段 的 协商 只 有 一 种 模 
式 , 称 为 快速 模式 (Quick Mode)。 在 快速 模式 下 使 
用 3 条 信息 协商 并 建立 IPSec SA。 第 二 个 阶段 协商 
的 主要 内 容 包括 : 使 用 的 IPSec 封装 协议 ,相应 封装 


协议 使 用 的 散 列 算法 和 加 密 算 法 ,需要 保护 的 网 络 流量 ， 


等 信息 。 


3. IPSec 与 IKE 的 关系 
IPSec 和 IKE 的 关系 如 图 4-20 所 示 。 


对 等 体 1 对 等 体 2 


en 
消息 1 : 发 起 方 策略 
消息 2 : 接收 方 确认 策略 
消息 3 : 发 起 方 密 钥 生 成 信息 
消息 4; 接收 方 密 钥 生 成 信息 
消息 5; 发 起 方 身份 和 验证 数据 


消息 6 : 接收 方 身份 和 验证 数据 


4-19 主 模式 协商 过 程 


SA 协商 


| kE 上 ~| IkE 


SA 


TCP/UDP 


加 密 的 IP 报 文 


图 4-20 IPSec 与 IKE 的 关系 


IPSec 封装 模式 , 密 钥 生 存 周期 
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IPSec 实现 于 网 络 层 , 而 IKE 是 工作 于 UDP 协议 之 上 的 一 个 应 用 层 协议 ,IKE 是 
IPSec 的 信 令 协议 ; IKE 为 IPSec 协商 建立 SA, 并 把 建立 的 参数 以 及 生成 的 密 钥 交 给 
IPSec; IPSec 使 用 IKE 建立 的 SA 为 IP 报 文 进行 加 密 或 认证 处 理 。 

4.3.5 IPSec 的 配置 

1. H3C 设备 配置 

IPSec 的 配置 比较 复杂 ,包括 配置 IKE 提议 和 对 等 体 、 配 置 安全 ACL ,配置 安全 提 
议 .配置 安全 策略 以 及 在 接口 上 应 用 安全 策略 组 。 本 节 只 对 Web 界面 下 的 配置 进行 介 
绍 ,对 命令 行 下 的 配置 感 兴趣 的 同学 可 以 自行 查阅 相关 资料 。 

在 此 以 H3C MSR 20-40 路 由 器 为 例 介绍 IPSec VPN 的 配置 。 首 先 通过 IE 登录 到 
路 由 器 上 ,登录 界面 如 图 4-21 所 示 。 


Web 网管 用户 登 录 


H3C 
Worms | i | cw 
语 言 [ 牛 文 S| 


图 4-21 路 由 器 登录 界面 


H3C 设备 默认 的 用 户 名 和 密码 均 为 admin, 输 入 用 户 名 、 密 码 和 验证 码 后 单 击 “ 登 
录 ” 按 钮 进入 路 由 器 的 管理 平台 界面 。 在 管理 平台 界面 左 侧 的 导航 栏 中 选择 VPN 二 
IPSec VPN”, 进 入 “IPSec 连接 ”界面 ,如 图 4-22 所 示 。 


EX 鉴 控 信息 
操作 


连接 名 称 局 用 接口 连接 类 型 。 对 请 地 址 。 本 端 地 址 ”对 端 ID 本 端 D 认证 方式 
矶 到 | 


图 4-22 IPSec 连接 界面 


在 “IPSec 连接 ”界面 下 单 击 “ 新 建 " 按 钮 进入 新 建 IPSec 连接 的 界面 ,如 图 4-23 所 示 。 

IPSec 配置 的 参数 项 和 具体 的 解释 如 下 。 

(1) IPSec 连接 名 称 : 为 IPSec 连接 设置 一 个 名 称 , 该 名 称 只 有 本 地 意义 ,两 端 对 等 
体 的 IPSec 连接 名 称 可 以 不 同 。 

(2) 接口 : 设置 要 通过 该 IPSec 连接 加 解密 的 数据 流 所 在 的 接口 。IPSec 安全 策略 
除了 可 以 应 用 到 串口 以太 网 口 等 实际 的 物理 接口 上 以 外 ,还 能 够 应 用 到 Tunnel、Virtual 
Template 等 虚 接 口上 。 

(3) 组 网 模式 : 设置 IPSec 连接 的 组 网 模式 ,包括 站 点 到 站 点 和 PC 到 站 点 两 种 
模式 。 

(4) 对 端 网 关 地 址 /主机 名 : 设置 IPSec 连接 对 端 安 全 网 关 的 地 址 ,可 以 是 IP 地 址 或 
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Ez | 


TPSec 连 接 名 称 “字符 ( 1- 32) 


网 关 信息 
接口 Cellular0/0 
姐 网 模式 他 站 点 到 站 点 C PC 到 站 点 
网 关 地 址 
对 庙 网 关 地 址 庄 机 各 "字符 (1-255) 
本 端 网 关 地 址 
认证 
认证 方式 
人 预 失 享 窗 钥 “字符 ( 1- 128) 
证书 国 
网 ID 
对 请 ID 类 型 全 P 地 址 人 网 关 名 称 
本 端 ID 类 型 IP 地址 个 网 关 名 称 
第 选 器 
系 选 方式 [流量 村 在 可 
源 地 址 盘 且 和 罕 I0.0.00 布 000 . 
目的 地 址 体 配 符 I0.0.00 布 000 对 
高 级 
第 一 阶段 
交 执 模式 人 主 模 式 C 是 棵 模式 
认证 算法 SHA1 本 
加 密 算法 DES 可 
DH Diffie-Hellman Group1 司 
SA 的 生存 周 划 86400 秒 〈 60- 604800， 黑 认 值 = 86400) 
第 二 阶段 
协议 ESP 
ESP 认 证 算法 MD5 司 
ESP 加 密 算 法 3DES 可 
封装 模式 全 障 道 模式 传输 模式 
PFS None 
SA 的 生存 周期 
基于 时 间 的 生存 周期 3600 秒 《 180- 604800, 黑 认 值 = 3600) 
基于 流量 的 生存 周期 1843200 千 字 节 《 2560 4294967295， 黑 认 值 = 1843200) 
DPD 开局 信 关闭 
| 
选择 加 密 卡 
古井 | 


星 号 (*) 为 必须 填写 项 


Tue | ww | 


4-23 IPSecVPN 配置 界面 


区 
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主机 名 。 如 果 使 用 IP 地 址 , 则 可 以 是 一 个 IP 地 址 ,也 可 以 是 一 个 IP 地 址 范围 。 如 果 本 
端 为 IKE 协商 的 发 起 端 , 则 此 配置 项 所 配 IP 地 址 必须 唯一 ,并 且 要 和 响应 端的 配置 的 
“本 端 网 关 地 址 ”相同 ; 如 果 本 端 为 IKE 协商 的 响应 端 , 则 此 配置 项 所 配 的 IP 地 址 必须 包 
含 发 起 端的 “本 端 网 关 地 址 ”。 如 果 使 用 主机 名 , 则 该 主机 名 应 能 够 被 DNS 服务 器 解析 为 
IP 地 址 ,并 且 本 端 只 能 作为 IKE 协商 的 发 起 端 。 

(5) 本 端 网 关 地 址 : 设置 本 端的 网 关 地 址 ,默认 情况 下 本 端 网 关 地 址 即 为 应 用 IPSec 
连接 的 接口 IP 地 址 。 一 般 情 况 下 本 端 网 关 地 址 不 需要 进行 配置 ,除非 用 户 需要 指定 特殊 
的 IP 地 址 (如 Loopback 接口 的 IP 地 址 ) 作 为 本 端 网 关 地 址 。 

(6) 认证 方式 : 设置 对 等 体 之 间 进 行 身 份 认证 的 方式 。 如 果 采 用 预 共 享 密 钥 的 方式 
进行 认证 ,需要 在 两 个 对 等 体 上 手工 设置 相同 的 预 共享 密 钥 ; 如 果 采 用 证 书 的 认证 方式 ， 
则 需要 选择 一 个 本 地 证 书 主题 ,本 地 证 书 在 导航 栏 的 证 书 管理 ”中 进行 配置 。 

(7) 对 端 ID 类 型 : 设置 IKE 在 第 一 阶段 的 协商 过 程 中 使 用 的 对 端 网 关 ID 类 型 。 如 
果 选 择 网 关 名 称 作为 对 端 ID, 则 需要 指定 对 端 网 关 ID。 

(8) 本 端 ID 类 型 : 设置 IKE 在 第 一 阶段 的 协商 过 程 中 使 用 的 本 端 网 关 ID 类 型 。 如 
果 选 择 网 关 名 称 作为 对 端 ID, 则 需要 指定 本 端 网 关 ID。 在 第 一 阶段 使 用 主 模式 进行 协商 
时 ,对 端 ID 类 型 和 本 端 ID 类 型 都 只 能 使 用 IP 地 址 。 

(9) 筛选 方式 : 设置 筛选 需要 被 IPSec 保护 的 数据 流 方式 。 采 用 流量 特征 的 筛选 方 
式 表 示 根 据 指 定 筛选 条 件 筛 选 出 需要 IPSec 保护 的 数据 流 , 此 时 需要 指定 数据 流 的 匹配 
条 件 , 即 源 地 址 /通配符 和 目的 地 址 /通配符 ; 采用 对 端 指定 的 筛选 方式 表示 由 对 端 对 等 
体 指定 需要 IPSec 保护 的 数据 流 。 筛 选 方式 设置 为 对 端 指定 的 一 端 不 能 作为 IKE 协商 
的 发 起 端 。 

(10) 源 地 址 /通配符 和 目的 地 址 /通配符 : 设置 需要 IPSec 保护 的 数据 流 筛 选 条 件 ， 
即 设置 一 个 高 级 ACL ,由 该 ACL 显 式 permit 的 流量 将 被 IPSec 保护 。 在 两 端 对 等 体 上 
配置 的 筛选 条 件 必 须 是 完全 对 称 的 , 即 一 端 对 等 体 上 配置 的 源 地 址 /通配符 要 和 另 一 端 对 
等 体 上 配置 的 目的 地 址 /通配符 相同 。 

(11) 交换 模式 : 设置 IKE 第 一 阶段 的 交换 模式 为 主 模式 还 是 野蛮 模式 。 

(12) 认证 算法 : 设置 IKE 第 一 阶段 使 用 的 散 列 算法 ,可 选择 SHA1 或 MD5 算法 。 

(13) 加 密 算 法 : 设置 IKE 第 一 阶段 使 用 的 加 密 算法 ,可 选择 DES、3DES、AES-128、 
AES-192 或 AES-256 算法 。 

(14) DH: 设置 IKE 第 一 阶段 密 钥 协 商 时 采用 的 D-H 密 钥 交换 参数 。 

(15) SA 的 生存 周期 : 设置 I SAKMP SA 的 生存 周期 , 即 主 密 钥 的 生存 周期 。 主 密 
钥 即 为 D-H 算法 计算 出 的 共同 秘密 KK, 在 第 二 阶段 对 IP 业务 数据 进行 保护 的 密 钥 称 为 
会 话 密 钥 ,会话 密 钥 均 由 主 密 钥 衍生 而 来 。 

在 设 定 的 生存 周期 超时 前 ,会 提前 协商 新 的 ISAKMP SA 来 替换 旧 的 SA。 在 新 的 
SA 还 没有 协商 完 之 前 ,依然 使 用 旧 的 SA; 在 新 的 SA 建立 后 ,将 立即 使 用 新 的 SA ,而 旧 
的 SA 在 生存 周期 超时 后 被 自动 清除 。 

由 于 ISAKMP SA 的 重新 协商 需要 对 等 体 之 间 进 行 身份 认证 ,并 且 要 进行 D-H 交 
换 , 这 可 能 需要 相对 较 长 的 时 间 , 因 此 一 般 ISAKMP SA 的 生存 周期 要 比 IPSec SA 的 生 
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存 周期 要 长 ( 即 主 密 钥 的 生存 周期 要 比 会 话 密 钥 的 生存 周期 长 ), 在 MSR 20-40 上 默认 
为 24h。 

(16) 协议 : 设置 IPSec 使 用 的 安全 封装 协议 ,可 选择 ESP、AH 或 AH-ESP 协议 。 

(17) ESP 认证 算法 、ESP 加 密 算法 和 AH 认证 算法 : 设置 相应 安全 封装 协议 的 散 列 
和 加 密 算法 。AH 认证 算法 可 选择 SHA1 或 MD5 算法 ; ESP 认证 算法 可 选择 SHA1、 
MD5 算法 或 NULL,NULL 表示 不 进行 ESP 认证 ; ESP 加 密 算法 可 选择 DES、3DES、 
AES-128、AES-192、AES-256 算法 或 NULL,NULL 表示 不 进行 ESP 加 密 。ESP 认证 算 
法 和 ESP 加密 算法 不 能 同时 设置 为 NULL。 

(18) 封装 模式 : 设置 IPSec 的 封装 模式 是 隧道 模式 还 是 传输 模式 。 

(19) PFS: 设置 第 二 阶段 的 协商 是 否 使 用 完善 的 前 向 安全 (Perfect Forward 
Secrecy,PFS) 特 性 ,并 指定 采用 的 D-H 组 。PFS 决定 了 密 钥 的 生成 方式 ,确保 了 密 钥 之 
间 的 无 关 性 ,即使 攻击 者 破解 了 一 个 密 钥 ,也 只 能 获知 该 密 钥 加 密 的 数据 ,而 无 法 获知 其 
他 的 加 密 数 据 。 这 就 要 求生 成 一 个 密 钥 的 材料 不 能 用 来 生成 其 他 的 密 钥 。 第 二 阶段 的 
PFS 特性 ( 即 会 话 密 钥 PFS 特性 ) 通 过 在 第 二 阶段 的 协商 中 进行 一 次 附加 的 密 钥 交换 来 
实现 。 

(20) SA 的 生存 周期 : 设置 IPSec SA 的 生存 周期 , 即 会 话 密 钥 的 生存 周期 。IPSec 
SA 的 生存 周期 有 两 种 定义 方式 : 基于 时 间 的 生存 周期 用 来 定义 一 个 IPSec SA 从 建立 到 
失效 的 时 间 ,默认 为 1h; 基于 流量 的 生存 周期 用 来 定义 一 个 IPSec SA 允许 处 理 的 最 大 流 
量 , 默 认为 1843200KB。 

在 设 定 的 生存 周期 超时 前 ,会 提前 协商 新 的 IPSec SA 来 替换 旧 的 SA。 在 新 的 SA 
还 没有 协商 完 之 前 ,依然 使 用 旧 的 SA; 在 新 的 SA 建立 后 ,将 立即 使 用 新 的 SA, 而 旧 的 
SA 在 生存 周期 超时 后 被 自动 清除 。 实 际 上 就 是 在 定义 的 时 间或 流量 的 生存 周期 到 期 时 
需要 更 新 会 话 密 钥 ,会 话 密 钥 的 生存 周期 比 主 密 钥 的 生存 周期 要 短 ,新 的 会 话 密 钥 通 过 主 
密 钥 加 密 在 对 等 体 之 间 进行 传递 ,一 次 通信 过 程 可 能 会 用 到 多 个 会 话 密 钥 ,对 会 话 密 钥 的 
反复 加 密 也 可 能 会 导致 主 密 钥 的 失 密 。 

在 两 端 对 等 体 配 置 的 生存 周期 不 同时 ,采用 其 中 生存 周期 较 小 的 一 个 。 

(21) DPD: 对 等 体 死亡 探测 (Dead Peer Detection) 功 能 用 于 对 对 端 对 等 体 状 态 进 行 
探测 ,避免 因 对 端 对 等 体 掉 线 而 出 现 加 密 黑洞 。 开 启 DPD 功能 需要 设置 “触发 DPD 的 时 
间 间 隔 ” 和 “等 待 DPD 响应 报 文 的 时 间 ” 两 个 参数 。 如 果 在 触发 DPD 的 时 间 间 隔 中 没有 
收 到 来 自 对 端的 IPSec 报 文 , 则 本 端 触发 发 送 DPD 查询 ,同时 计时 器 开始 计时 ,如 果 在 等 
待 DPD 响应 报 文 的 时 间 到 时 之 前 无 法 收 到 对 端的 DPD 响应 报 文 则 认为 对 端 掉 线 ,删除 
ISAKMP SA 和 相应 的 IPSec SA。 当 有 符合 安全 策略 的 报 文 需要 发 送 时 ,会 重新 触发 设 
备 协商 建立 SA。 

假设 存在 如 图 4-24 所 示 的 网 络 ,网 络 联通 性 已 经 配置 完成 。 要 求 配置 IPSec VPN 
来 保护 192. 168. 1. 1/24 和 192. 168. 2. 0/24 两 个 网 段 之 间 的 通信 流量 ,其 中 对 等 体 身份 
认证 采用 预 共享 密 钥 的 方式 , 预 共享 密 钥 为 123456, 其 他 配置 均 采用 系统 默认 配置 。 

首先 在 交换 机 SWA 上 配置 端口 镜像 .将 端口 E1/0/1 和 E1/0/2 的 出 入 站 流量 均 镜 
像 到 端口 E1/0/24 上 ,具体 的 配置 命令 如 下 : 


™ 
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[SWA]mirroring-group 1 local 


[SWA] mirroring-group 1 mirroring-port Ethernet 1/0/1 to Ethernet 1/0/2 both 
[SWA]mirroring-group 1 monitor-port Ethernet 1/0/24 


RTA SWA RTB 
EN EWo/l E1/0/2 EO/1 
10.1.1.1/24 10.1.1.2/24 

EO/0 E1/0/24 EO0/0 
192.168.1.1/24 192.168.2.1/24 
pC) PC PC， 
192.168.1.2/24 10.1.1.10/24 192.168.2.2/24 


4-24 IPSec VPN 配置 网 络 拓扑 结构 


在 路 由 器 RTA 上 配置 IPSec VPN, 具 体 的 配置 如 图 4-25 所 示 。 


IPSec 连接 名 称 labc "字符 (1-32) 

网 关 信息 

接口 [Ethemeto/! 司 

姐 网 醒 式 人 站 点 到 外 点 个 PC 到 站 点 
网 关 地 址 
对 讽 网 关 地 址 /主机 名 10.1.1.2 * 字 符 〈1- 255) 
本 端 网 关 地 址 
认证 
认证 方式 

人 预 共 享 密 钥 eeee “字符 ( 1- 128) 
CE 国 
网 关 ID 
对 请 ID 类 型 全 IP 地 址 O 网 关 名 称 
本 端 ID 类 型 GIF 地址 个 同 关 名 称 
第 选 器 
征 选 方式 流量 桂 征 司 
源 地 址 体 配 符 Psz16810 全 00255 * 
目的 地 址 体 配 符 Psz16820 和 .0.0.255 * 
上 高 级 
懂 号 ( * 为 必须 填写 项 


图 4-25 RTA 上 IPSec VPN 的 配置 


路 由 器 RTB 上 的 配置 与 RTA 类 似 , 区 别 是 RTB 上 设置 的 对 端 网 关 地 址 /主机 名 为 
10.1.1.1; 筛选 器 中 源 地 址 /通配符 为 192. 168. 2. 0/0. 0. 0. 255, 目的 地 址 /通配符 为 
192. 168. 1. 0/0. 0.0.255 ,与 路 由 器 RTA 上 的 筛选 器 完全 对 称 。 


第 4 章 VPN 技术 


配置 完成 后 ,在 PC 上 使 用 ping 命令 连接 PC:, 同 时 分 别 在 3 台 PC 上 使 用 
Wireshark 软件 捕获 数据 报 文 。 在 PC, 和 PC* 上 捕获 的 数据 报 文 为 ICMP 的 明文 ,而 在 
PC 上 捕获 的 数据 报 文中 ,可 以 看 到 IKE 协议 进行 ISAKMP SA 和 IPSec SA 协商 的 数 
据 报 文 ,以 及 使 用 第 二 阶段 默认 的 安全 协议 ESP 进行 封装 的 PC 和 PC; 之 间 的 通信 数 
据 , 具 体 如 图 4-26 所 示 。 


了 Cc Packet Scheduler) 


1a8aca) 


ESP (SI 801a 
Fsp {SpT=Nx798N2NdSY 


Ethernet II, Src: Hangzhou_1: :af (3 af), Dst: Hangzhou_13:54:b7 
Internet Protocol, Src: 10.1. 加 Dees 
日 Encapsulatinq Security Pavload 


图 4-26 PC: 上 捕获 的 数据 报 文 


从 图 4-26 中 可 以 看 到 ,ESP 封装 的 数据 报 文 的 源 IP 地 址 和 目的 IP 地 址 分 别 是 两 端 
对 等 体 的 IP 地 址 ,而 不 是 终端 主机 的 IP 地 址 。 

在 路 由 器 RTA 或 路 由 器 RTB 的 “IPSec 连接 ”界面 下 单 击 “ 监 控 信息 ”进入 监控 信息 
界面 ,可 以 看 到 IPSec 连接 信息 。 选 中 某 个 连接 信息 前 的 复 选 框 ,可 以 在 “隧道 列表 ”中 看 
到 该 连接 下 已 建立 的 隧道 信息 ,路 由 器 RTA 上 的 监控 信息 如 图 4-27 所 示 。 


[ 对 端 地 址 流量 特征 SPI 出 从 报 文 数 出 从 字 节 数 ”操作 
src 192.168.1.0/0.0.0.255 dst 192 168.2 0/0.0.0.255 |in 2149223114 [ESP] 
10.1.1.2 protocol IP src-port 0 dstport0 out 2038440149 [ESP] 33 192192 四 


图 4-27 路 由 器 RTA 上 IPSec 监控 信息 


从 图 4-27 所 示 的 隧道 列表 信息 中 可 以 看 出 ,对 于 ESP 协议 在 in 和 onut 方向 上 分 别 
有 一 个 SPI, 即 对 于 ESP 协议 在 in 和 out 方向 上 分 别 存在 一 个 IPSec SA。 单 击 “ 删 除 
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ISAKMP SA” 按 钮 ,可 以 删除 已 建立 的 ISAKMP SA; 单 击 “ 删 除 选 中 连接 的 所 有 隧道 ” 
按钮 ,可 以 删除 选中 的 连接 下 所 有 已 建立 的 IPSec 隧道 。 
2. Cisco 设备 配置 
Cisco 设备 配置 站 到 站 IPSec VPN 涉及 的 命令 如 下 。 
(1) 启用 IKE 功能 。 


Router(config) # crypto isakmp enable 


默认 情况 下 ,路 由 器 上 的 IKE 功能 处 于 启用 状态 ,因此 该 命令 可 以 不 配置 。 
(2) 创建 IKE 策略 , 即 定义 第 一 阶段 I SAKMP SA 协商 所 需 的 各 项 参数 。 


Router(config) # crypto isakmp policy priority 

Router(config-isakmp) # authentication pre-share 

Router(config-isakmp) # encryption {des|3des|aes} 

Router(config-isakmp) # group {1|2|5} 

Router(config-isakmp) # hash {md5|sha) 

Router(config-isakmp) # lifetime lifetime 

其 中 ,IKE 策略 优先 级 取 值 范围 为 1 一 10000,1 的 优先 级 最 高 ,在 进行 IKE 策略 定义 
时 ,优先 级 通常 从 10 开始 创建 ,以 备 以 后 插入 更 高 优先 级 的 策略 。 

在 IKE 策略 中 ,定义 了 对 等 体 的 身份 认证 方式 为 预 共享 密 钥 , 同 时 定义 了 第 一 阶段 
协商 使 用 的 加 密 算法 、 散 列 算法 .D-H 算法 以 及 ISAKMP SA 的 生存 周期 。 

(3) 配置 预 共享 密 钥 。 


Router(config ) # crypto isakmp key encrypt-level key-string address peer-address 

其 中 ,参数 encryprlevel 为 密 钥 的 加 密级 别 , 取 值 为 0 或 6。 必须 保证 对 等 体 两 端 使 
用 相同 的 预 共享 密 钥 ,否则 身份 认证 将 会 失败 。 

(4) 配置 变换 集 , 即 定义 第 二 阶段 IPSec SA 协商 所 需 的 各 项 参数 。 


Router(config) # crypto ipsec transform-set trans fornmset-name 


{ah-md5-hmac|ah-sha-hmac|esp-des|esp-3des|esp-aes|esp-md5-hmac|esp-sha-hmac} 

(5) 配置 IPSec SA 的 生存 周期 。 

Router(config) # crypto ipsec security-association lifetime {seconds seconds|kilobytes kilobytes} 

与 H3C 设备 上 的 配置 类 似 ,对 IPSec SA 生存 周期 的 配置 可 以 采用 基于 时 间 和 基于 
流量 两 种 方式 。 

(6) 配置 ACL 来 定义 受到 VPN 保护 的 流量 。 

Router(config) # ip access-list extended name 


Router(config-extrnacl) # {permit | deny) protocol source source-wildcard [operator [port]] 
destination destination-wildcard [operator [ port]] 


注意 : 要 保证 对 等 体 两 端的 ACL 配置 完全 对 称 。 
(7) 配置 加 密 图 。 
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Router(config) # crypto map maprname seq-number ipsec-isakmp 
Router(config-crypto-map) # set peer peer-adress 
Router(config-crypto-map) # set transform-set transfornrset-name 
Router(config-crypto-map) # match address aciname 


(8) 将 加 密 图 应 用 到 接口 上 。 


Router(config-if) # crypto map map-name 


在 此 依然 使 用 图 4-24 所 示 的 网 络 进行 IPSec VPN 的 配置 ,首先 在 交换 机 SWA 上 配 
置 端口 镜像 ,具体 的 配置 命令 如 下 : 


SWA(config) # monitor session 1 source interface FastEthernet 0/1-2 both 
SWA(config) # monitor session 1 destination interface FastEthernet 0/24 


在 路 由 器 RTA 上 配置 IPSec VPN, 具 体 的 配置 命令 如 下 : 


RTA(config) # crypto isakmp policy 10 

RTA(config-isakmp) # authentication pre-share 

RTA(config-isakmp) # encryption des 

RTA(config-isakmp) # group 1 

RTA(config-isakmp) # hash md5 

RTA(config-isakmp) # lifetime 3600 

RTA(config-isakmp) # exit 

RTA(config) # crypto isakmp key 0 123456 address 10.1.1.2 
RTA(config) # crypto ipsec transform-set ts-vpn esp-3des esp-md5-hmac 
RTA(cfg-crypto-trans) # exit 

RTA(config) # ip access-list extended eacl-vpn 

RTA(config-ext-nacl) # permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
RTA(config-ext-nacl) # exit 

RTA(config) # crypto map map-vpn 10 ipsec-isakmp 
RTA(config-crypto-map) # set peer 10.1.1.2 

RTA(config-crypto-map) # set transform-set ts-vpn 
RTA(config-crypto-map) # match address eacl-vpn 
RTA(config-crypto-map) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # crypto map map-vpn 


配置 完成 后 ,在 路 由 器 RTA 上 执行 show crypto isakmp policy 命令 查看 IKE 策略 ， 
显示 结果 如 下 : 


RTA# show crypto isakmp policy 


Global IKE policy 
Protection suite of priority 10 
encryption algorithm: DES - Data Encryption Standard (56 bit keys) . 
hash algorithm: Message Digest 5 
authentication method: Pre-Shared Key 
Diffie- Hellman group: #1 (768 bit) 
lifetime: 3600 seconds, no volume limit 
Default protection suite 
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encryption algorithm: © DES - Data Encryption Standard (56 bit keys) . 
hash algorithm : Secure Hash Standard 

authentication method: Rivest-Shamir-Adleman Signature 
Diffie-Hellman group: #1 (768 bit) 

lifetime: 86400 seconds, no volume limit 


执行 show crypto ipsec transform-set 命令 查看 变换 集 , 显 示 结 果 如 下 : 


RTA# show crypto ipsec transform-set 
Transform set ts-vpn: { esp-3des esp-md5-hmac } 
will negotiate = { Tunnel, } 


执行 show crypto map 命令 查看 加 密 图 信息 ,显示 结果 如 下 : 


RTA# show crypto map 

Crypto Map "map-vpn" 10 ipsec-isakmp 
Peer = 10.1.1.2 
Extended IP access list eacl-vpn 


access-list eacl-vpn permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 

Current peer: 10.1.1.2 
Security association lifetime: 4608000 kilobytes/3600 seconds 
PFS (Y/N): N 
Transform sets 一 { 

ts-vpn, 
} 
Interfaces using crypto map map-vpn: 

FastEthernet0/1 


路 由 器 RTB 上 的 配置 与 RTA 上 类 似 , 唯 一 的 区 别 是 访问 控制 列表 与 RTA 上 完 
对 称 。 在 此 不 再 袭 述 。 

配置 完成 后 的 测试 过 程 与 H3C 设备 类 似 。 

测试 完毕 后 ,在 路 由 器 RTA 上 执行 show crypto isakmp sa 查看 isakmp 的 安全 关 
联 ,显示 结果 如 下 : 


RTA# show crypto isakmp sa 


dst SrC State conn-id slot status 
Wi2 10:1.1.1 QM_IDLE 1 0 ACTIVE 


在 路 由 器 RTA 上 执行 show crypto ipsec sa 命令 查看 IPSec 的 安全 关联 ,显示 结果 
如 下 : 


RTA# show crypto ipsec sa 


interface: FastEthernet0/1 
Crypto map tag: map-vpn, local addr 10.1.1.1 


protected vrf: (none) 
local ident (addr/mask/prot/port) : (192.168.1.0/255.255.255.0/0/0) 


remote ident (addr/mask/prot/port) : (192.168.2.0/255.255.255.0/0/0) 
current_peer 10.1.1.2 port 500 
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PERMIT, flags= {origin_is_acl, } > 


#pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7 
#pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7 
#pkts compressed: 0, #pkts decompressed: 0 

#pkts not compressed: 0, #pkts compr. failed: 0 
#pkts not decompressed: 0， 井 pkts decompress failed: 0 
# send errors 1, #7ecv errors 0 


local crypto endpt. : 10.1.1.1, remote crypto endpt.: 10.1.1.2 
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 
current outbound spi: 0xB0628A83(2959248003) 


inbound esp sas: 

spi: OxF60D98FE(4128086270) 
transform: esp-3des esp-md5-hmac ， 
in use settings = {Tunnel, } 
conn id: 3001, flow_id: FPGA:1, crypto map: map-vpn 
sa timing: remaining key lifetime (k/sec): (4485350/2656) 
1V size: 8 bytes 
replay detection support: Y 
Status: ACTIVE 


inbound ah sas: 
inbound pcp sas: 


outbound esp sas: 

spi: 0xB0628A83(2959248003) 
transform: esp-3des esp-md5-hmac ， 
in use settings = {Tunnel, } 
conn id: 3002, flow_id: FPGA:2, crypto map: map-vpn 
sa timing: remaining key lifetime (k/sec): (4485350/2655) 
IV size: 8 bytes 
replay detection support: Y 
Status: ACTIVE 


outbound ah sas: 


outbound pcp sas: 


4.4 远程 访问 VPN 


4.4.1 L2TP VPN 


作为 网 络 层 的 隧道 协议 ,IPSec 只 支持 IP 单 播 流 量 , 而 无 法 对 多 协议 或 IP 多 播 流 量 
提供 安全 保护 ; 在 进行 IPSec 配置 时 .必须 要 配置 对 端 网 关 地 址 ( 见 图 4-23) ,而 用 户 出 差 
在 外 地 通过 公 网 连接 公司 网 络 时 其 IP 地 址 并 不 固定 。 因 此 IPSec 一 般 用 于 配置 站 到 站 
的 VPN ,而 要 求 多 协议 支持 的 远程 访问 VPN 一 般 采 用 L2TP 协议 来 实现 。 
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二 层 隧道 协议 (Layer 2 Tunneling Protocol,L2TP) 由 IETF 起 草 , 结 合 了 Cisco 公司 
的 二 层 转发 (Layer 2 Forwarding,L2F) 协 议和 Microsoft 公司 的 点 到 点 隧道 协议 (Point- 
to-Point Tunneling Protocol,PPTP) 的 优点 ,在 数据 链 路 层 为 数据 提供 隧道 封装 。L2TP 
通过 为 远程 用 户 分 配 企业 内 部 地 址 为 企业 驻 外 机 构 和 出 差 人 员 提 供 从 远程 经 由 公共 网 络 
安全 访问 公司 内 部 网 络 的 虚拟 专用 拨号 网 (Virtual Private Dial-up Network,VPDN ) 。 


1. L2TP 基础 

L2TP 协议 基于 广域网 链 路 上 的 点 到 点 协议 (Point-to-Point Protocol, PPP) 实 现 。 
PPP 协议 通过 在 数据 链 路 层 上 的 封装 ,可 以 在 点 到 点 链 路 上 传输 多 种 上 层 协议 的 数据 报 
文 。 而 L2TP 通过 对 PPP 模型 的 扩展 ,使 PPP 会 话 可 以 跨越 Internet 网 络 ,为 远程 用 户 
和 公司 网 络 的 边界 路 由 器 之 间 提 供 PPP 会 话 。 典 型 的 L2TP 组 网 应 用 如 图 4-28 所 示 。 


远程 用 户 。 看 
PPPoE/ISDN 国 < 一》 公司 内 部 网 络 
LNS 
S66 uC 0 
Cm L2TP 隧 道 


4-28 L2TP 典型 组 网 应 用 


从 图 4-28 中 可 以 看 出 ,L2TP 组 建 的 VPDN 中 ,网 络 组 件 包 括 以 下 3 部 分 。 

(1) 远 端 系统 

远 端 系统 是 需要 接 人 到 VPDN 中 的 远程 用 户 和 远程 分 支 机 构 , 通 常 是 一 台 通 过 
ADSL 等 方式 连接 网 络 的 主机 或 私有 网 络 的 一 台 路 由 设备 。 

(2) L2TP 访问 集中 器 

L2TP 访问 集中 器 (L2TP Access Concentrator, LAC) 是 附属 在 交换 网 络 上 的 具有 
PPP 端 系统 和 L2TP 协议 处 理 能 力 的 设备 ,通常 是 一 个 当地 ISP 的 网 络 接 入 服务 器 
(Network Access Server,NAS) ,主要 用 于 为 PPP 类 型 的 用 户 提 供 接 入 服务 。 

LAC 位 于 LNS 和 远 端 系统 之 间 , 用 于 在 LNS 和 远 端 系统 之 间 传 递 数 据 报 文 。LAC 
将 从 远 端 系统 收 到 的 数据 报 文 按 照 L2TP 协议 进行 封装 并 发 送 给 LNS, 同 时 将 从 LNS 
收 到 的 数据 报 文 进行 解 封装 并 发 送 给 远 端 系统 。 

LAC 与 远 端 系统 之 间 采 用 本 地 连接 或 PPP 链 路 ,VPDN 应 用 中 通常 为 PPP 链 路 。 

(3) L2TP 网 络 服务 器 

L2TP 网 络 服务 器 (L2TP Network Server, LNS) 通 常 是 一 个 公司 网 络 的 边界 路 由 
器 , 它 既 是 PPP 端 系 统 , 又 是 L2TP 协议 的 服务 器 端 。LNS 作为 L2TP 隧道 的 另 一 侧 端 
点 ,是 LAC 的 对 端 设 备 , 是 LAC 进行 隧道 传输 的 PPP 会 话 的 逻辑 终止 端点 。 通 过 在 公 
共 网 络 中 建立 L2TP 隧道 ,将 远 端 系统 的 PPP 连接 的 另 一 端 由 原来 的 LAC 在 逻辑 上 延 
伸 到 了 LNS, 使 二 层 链 路 端点 (LAC) 和 PPP 会 话 点 (LNS) 可 以 驻 留 在 通过 分 组 交换 网 络 
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连接 的 不 同 设备 上 ,从 而 扩展 了 PPP 模型 ,使 PPP 会 话 可 以 跨越 帧 中 继 或 Internet 等 
网 络 。 

2. L2TP 协议 报 文 结构 

L2TP 协议 的 报 文 封装 结构 如 图 4-29 所 示 。 


IP 报 头 人 P 报 头 
UDP L2TP PPP 
( 公 网 地 址 ) 加 以 各 (私有 地 址 ) 数据 


4-29 L2TP 协议 报 文 结构 


在 L2TP 协议 中 ,LNS 端 会 为 远程 用 户 分 配 企业 内 部 网 络 的 私有 IP 地 址 ,远程 用 户 
在 访问 企业 内 部 网 络 时 使 用 私有 IP 地 址 (相当 于 远程 用 户 在 逻辑 上 依然 处 于 企业 内 部 网 
络 中 ) ,因此 原始 IP 数据 报 文 的 IP 报头 中 使 用 的 为 私有 IP 地 址 。 原 始 IP 数据 报 文 依次 
被 PPP 协议 和 L2TP 协议 封装 ,L2TP 协议 在 传输 层 使 用 UDP 协议 进行 封装 , 它 使 用 
UDP 的 1701 端口 进行 通信 ,最 外 层 封装 上 新 的 IP 报头 ,其 中 的 源 IP 地 址 和 目的 IP 地 
址 分 别 为 远程 用 户 的 公 网 IP 地 址 和 企业 边界 路 由 器 接口 的 IP 地 址 (或 PPP Server 地 
址 )。 经 L2TP 协议 封装 的 数据 报 文 如 图 4-30 所 示 。 


12TP. pcap - Wireshark 
File Edit Yiew Go Capture Analyze Statistics Telephony Tools Help | 


CU -| 


团 Frame 18 (114 bytes on wire, 114 bytes captured) 
m Ethernet II, Src: HonHaipr_3b:78:88 (90:fb:a6:3b:78:88), Dst: Hangzhou_13: 
田 Internet Protocol, Src: 202.207.120.2 (202.207.120.2), Dst: 202.207.120.1 
田 User Datagram Protocol, Src Port: 12f (1701), Dst Port: 12f (1701) 
日 Layer 2 Tunneling Protocol 
田 Packet Type: Data Message Tunne]1 Id=1 Session Id=28156 

Length: 72 
TunneT ID: 1 
Session ID: 28156 
Point-to-Point Protocol 
田 Internet Protocol, Src: 10.1.2.3 (10.1.2.3), Dst: 10.1.100.2 (10.1.100.2) 
田 Internet Control Message Protocol 

司 


图 4-30 L2TP 协议 封装 的 数据 报 文 


在 一 个 LAC 和 LNS 之 间 存 在 着 两 种 类 型 的 连接 : 隧道 (Tunnel) 连接 和 会 话 
(Session) 连 接 。 一 个 隧道 连接 对 应 了 一 个 LAC 和 LNS 对 ; 而 会 话 连 接 复 用 在 隧道 连接 
之 上 ,用 于 表示 承载 在 隧道 连接 中 的 每 个 PPP 会 话 过 程 。 在 同一 对 LAC 和 LNS 之 间 可 
以 建立 多 个 L2TP 隧道 ,一 个 隧道 由 一 个 控制 连接 和 一 个 或 多 个 会 话 连接 组 成 。 会 话 连 
接 必 须 在 隧道 建立 成 功 之 后 进行 ,每 一 个 会 话 连接 都 对 应 于 LAC 和 LNS 之 间 的 一 个 
PPP 数据 流 。 


i125、 
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在 L2TP 中 存在 两 种 消息 类 型 : 控制 消息 和 数据 消息 。 控 制 消息 用 于 隧道 和 会 话 连 
接 的 建立 、 维 护 以 及 传输 控制 ,控制 消息 的 传输 是 可 靠 的 , 它 支持 流量 控制 和 拥塞 控制 ; 
数据 消息 用 于 封装 PPP 数据 帧 并 在 隧道 上 传输 ,数据 消息 的 传输 是 不 可 靠 的 。 无 论 是 控 
制 消 息 还 是 数据 消息 都 使 用 相同 的 L2TP 协议 报头 ,在 L2TP 报头 中 包含 有 隧道 标识 符 
(Tunnel ID) 和 会 话 标识 符 (Session ID) 信 息 , 如 图 4-29 所 示 , 用 来 标识 不 同 的 隧道 和 会 
话 。 隧 道 标识 符 相 同 但 会 话 标识 符 不 同 的 数据 报 文 将 被 复 用 在 同一 个 隧道 上 。 

L2TP 协议 使 用 Hello 报 文 来 检测 隧道 的 联通 性 ,LAC 和 LNS 定时 向 对 端 发 送 
Hello 报 文 , 如 果 在 一 段 时 间 内 没有 收 到 Hello 报 文 的 应 答 , 则 相应 的 隧道 会 断 开 。 


3. L2TP 隧道 模式 

L2TP 隧道 的 建立 包括 两 种 模式 ,分 别 是 NAS 发 起 模式 和 客户 端 发 起 模式 。 

(1) NAS 发 起 模式 

在 NAS 发 起 模式 (NAS-Initiated) 中 ,由 LAC 端 发 起 L2TP 隧道 连接 ,如 图 4-31 
所 示 。 


和 £ 和 
< PPPoE/ISDN 少 一 Intemet 公司 内 部 网 络 
LNS 


远程 用 户 LAC 1 
1 
IC 0 
1 
| L2TP 隧 首 1 


图 4-31 NAS-Initiated 模式 


远程 用 户 通过 PPPoE/ISDN 等 方式 拨 入 LAC, 由 LAC 通过 Internet 向 LNS 发 起 建 
立 隧道 连接 的 请 求 ,并 最 终 在 LAC 和 LNS 之 间 建 立 L2TP 隧道 。 对 远程 用 户 的 认证 、 授 
权 和 计 费 等 可 由 LAC 侧 的 代理 完成 ,也 可 以 在 LNS 侧 完成 。 

(2) 客户 端 发 起 模式 

在 客户 端 发 起 模式 (ClientInitiated) 中 ,直接 由 支持 L2TP 协议 的 远程 用 户 发 起 
L2TP 隧道 连接 ,如 图 4-32 所 示 。 


千 : [种 纺 : 
- PPPoE/ISDN )— Internet 公司 内 部 网 络 


远程 用 户 LAC ENS 


1 
人 0 
1 L2TP 隧 道 1 


4-32 ”Client-Initiated 模式 


远程 用 户 在 获得 了 访问 Internet 的 权限 后 ,直接 向 LNS 发 起 隧道 连接 请 求 ,并 最 终 
在 远程 用 户 和 LNS 之 间 建 立 L2TP 隧道 ,无 须 经 过 一 个 单独 的 LAC 设备 来 建立 隧道 。 
Client-Initiated 模式 要 求 远 程 用 户 系统 支持 L2TP 协议 ,并 且 远 程 用 户 需要 具有 公 网 IP 
地 址 ,能够 直接 通过 Internet 与 LNS 通信 。 
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在 此 依然 以 H3C MSR 20-40 路 由 器 为 例 介绍 L2TP VPN 的 配置 。 路 由 器 在 L2TP 
中 扮演 着 LNS 的 角色 。 在 路 由 器 的 管理 平台 界面 左 侧 的 导航 栏 中 选择 “VPN 宇 L2TP 二 
L2TP 配置 ”, 进 入 L2TP 配置 界面 ,如 图 4-33 所 示 。 


上 所 用 L2TP 功 能 


we | 
siag:[D xs#:[ | 


ID L2TP 用 户 组 名 称 。 ”用 户 认 证 方式 对 请 障 道 名 称 1SP 域 名 称 
四 | 


图 4-33 L2TP 配 置 界 面 


在 “L2TP 配置 "界面 下 选中 “启用 L2TP 功能 " 复 选 框 ,并 单 击 “ 确 定 ” 按 钮 ,在 路 由 器 
上 启用 L2TP 的 功能 。 单 击 “ 新 建 " 按 钮 进入 “新 建 L2TP 用 户 组 ”界面 ,如 图 4-34 所 示 。 


新 建 LZTP 用 户 粗 

L2TPIR 置 

L2TP 用 户 姐 名 称 [1-15) 

对 了 道 名 称 (1-30) 

本 王刚 道 名 称 : 字条 (1-30) 

了 验证 启用 加 

了 省 验证 密码 : 序 符 (1- 16) 

PPPIAiE 配 辕 

PPP 认 证 方式 : [None 司 

ISP 城 各: 三 习 吕 | 钱 | 颈 | 
PPP 地 址 配置 

PPP Server 地 址 由 码 : 1 下 

用 户 地 址 : 广 ” 转 到 建 | 仍 改 | 强制 分 本 地 址 : [共用 辐 

同 高 级 

Hello 报 文 间隔 : 60 岗 ( 60- 3600， 缺 省 值 = 607 

AVP 妆 据 隐藏 ; 铬 用 司 

流量 控制 : 民用 司 

强制 本 端 CHAP 认 证 : 必用 司 

强制 LCP 重 协商 : 民用 司 
县 寻 (") 为 必须 填写 项 

mw | ww | 


图 4-34 新 建 L2TP 用 户 组 界面 


L2TP 配置 的 参数 项 和 具体 的 解释 如 下 。 

(1) L2TP 用 户 组 名 称 : 设置 L2TP 用 户 组 的 名 称 , 该 名 称 只 有 本 地 意义 ,定义 一 个 
容易 区 分 和 记忆 的 名 字 即 可 。 

(2) 对 端 隧道 名 称 : 配置 对 端 隧道 的 名 称 , 在 远程 用 户 使 用 Windows XP 自 带 的 VPN 
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客户 端 进 行 L2TP 连接 时 ,LNS 端 不 能 配置 该 参数 ,否则 会 导致 L2TP 隧道 无 法 建立 。 

(3) 本 端 隧道 名 称 : 配置 本 端 隧道 名 称 , 本 项 可 以 不 进行 配置 。 

(4) 隧道 验证 : 设置 是 否 在 该 L2TP 用 户 组 中 启用 L2TP 隧道 验证 功能 。 如 果 选 择 
启用 隧道 验证 , 则 应 在 L2TP 隧道 的 两 侧 均 启 用 该 功能 ,并 且 要 求 两 端的 隧道 验证 密码 必 
须 一 致 ,否则 隧道 将 无 法 建立 。 为 保证 L2TP 隧道 的 安全 ,建议 最 好 启用 隧道 验证 的 功 
能 。 由 于 Windows XP 不 提供 此 项 配置 ,因此 在 远程 用 户 使 用 Windows XP 自 带 的 VPN 
客户 端 进行 L2TP 连接 时 ,LNS 端 必须 选择 禁用 隧道 验证 功能 。 

(5) PPP 认证 方式 : L2TP 依赖 于 PPP 协议 提供 的 认证 功能 来 确保 连接 的 安全 性 。 
PPP 认证 方式 可 以 选择 None、PAP 和 CHAP, 分 别 表 示 不 进行 认证 、 使 用 密码 验证 协议 
(Password Authentication Protocol,PAP) 进 行 认 证 和 使 用 质询 握手 验证 协议 (Challenge 
Handshake Authentication Protocol,CHAP) 进 行 认证 。 建 议 选择 比较 安全 的 CHAP 认 
证 方式 。 

(6) ISP 域名 : 设置 用 户 进行 PPP 认证 所 采用 的 ISP 域 的 名 称 。 默 认 域 为 system， 
可 以 单 击 “ 新 建 " 按 钮 进入 “新 建 ISP 域 ? 界 面 ,新 建 一 个 ISP 域 , 也 可 以 使 用 系统 默认 的 
system 域 并 单 击 “ 修 改 ” 按 钮 进入 “修改 ISP 域 ? 界 面 对 其 进行 修改 。 新 建 ISP 域 界面 和 
修改 ISP 域 界面 基本 相同 ,新 建 ISP 域 界 面 如 图 4-35 所 示 。 


ISP 域 名称: [ | 字符 (1- 24) 

PPP 认 证 方案 : 
主 用 方案 服务 器 类 型 Local 辐 方案 8 各 | 司 
备 选 方案 禁用 司 

PPP 授 权 方案 : 
主 用 方案 服务 器 类 型 Local 司 方案 名 种 司 
备 选 方案 禁用 司 

PPP 计 贵 方案 : 计 得 开关 其 用 国 
主 用 方案 服务 器 类 型 Local 司 方案 g 利 | 司 
备 选 方案 蔡 用 | 

最 大 用 户 数 : [ ( 1- 2147483646) 

屋 号 ( *) 为 必须 填写 项 

确定 取消 


图 4-35 新 建 ISP 域 界 面 


在 “新 建 ISP 域 ?或 “修改 ISP 域 ? 界 面 下 主要 进行 PPP 认证 、 授 权 和 计 费 方案 的 配 
置 。PPP 认证 方案 .授权 方案 和 计 费 方案 中 的 服务 器 类 型 可 以 选择 None、Local 和 
Radius。 其 中 ,None 表示 不 认证 /直接 授权 /不 计 费 , Local 表示 采用 本 地 认证 /授权 / 计 
费 ,Radius 表示 采用 Radius 进行 认证 /授权 / 计 费 。 关 于 认证 授权 和 计 费 以 及 Radius 部 
分 会 在 第 6 章 局 域 网 安全 的 AAA 技术 部 分 进行 详细 讲解 。 在 此 只 要 PPP 认证 方案 使 用 
系统 默认 的 服务 器 类 型 Local 即 可 , 即 在 本 地 进行 PPP 认证 。 

(7) PPP Server 地 址 / 掩 码 : 设置 本 端的 IP 地 址 和 子 网 掩 码 。LNS 端 一 般 会 从 企业 
内 部 网 段 中 专门 划分 出 一 个 IP 地 址 段 来 为 远程 用 户 分 配 企业 内 部 IP 地 址 ,此 处 配置 的 
PPP Server 地 址 即 为 该 网 段 中 的 一 个 IP 地 址 ,该 地 址 会 分 配 到 路 由 器 的 虚拟 模板 接口 
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(Virtual-Template) 上 ,并 通过 该 虚拟 模板 接口 为 远程 用 户 分 配 本 网 段 的 IP 地 址 。 需 要 
注意 的 是 ,为 远程 用 户 分 配 的 是 一 个 独立 的 IP 网 段 , 因 此 PPP Server 地 址 不 能 与 路 由 器 
的 物理 接口 地 址 所 在 网 段 冲 突 ; 另外 ,企业 内 部 网 络 中 的 其 他 路 由 器 或 三 层 交 换 机 的 路 
由 表 中 必须 存在 去 往 PPP Server 地 址 所 在 网 段 的 路 由 ,否则 会 导致 远程 用 户 无 法 访问 企 
业内 部 网 络 中 的 某 些 部 分 。 

(8) 用 户 地 址 : 设置 给 远程 用 户 分 配 企业 内 部 IP 地 址 所 用 的 地 址 池 或 直接 给 远程 用 
户 分 配 指 定 的 IP 地 址 。 下 拉 框 中 显示 第 (6) 项 配置 的 ISP 域 下 的 地 址 池 , 可 以 单 击 “ 修 
改 ” 按 钮 进入 “修改 地 址 池 ” 界 面 对 已 有 的 地 址 池 进 行 修改 ,也 可 以 单 击 “ 新 建 " 按 钮 进入 
“新 建 地 址 池 ” 界 面 , 新 建 一 个 地 址 池 。 新 建 地 址 池 界 面 和 修改 地 址 池 界 面 基本 相同 ,新 建 
地 址 池 界 面 如 图 4-36 所 示 。 


新 建 地 址 池 


图 4-36 新 建 地 址 池 界面 


其 中 ,域名 用 来 设置 地 址 池 所 在 的 ISP 域 , 此 处 设置 的 域名 要 与 第 (6) 项 设置 的 ISP 
域名 相同 。 地 址 池 编 号 给 出 一 个 0 一 99 的 编号 即 可 。 开 始 地 址 和 结束 地 址 用 来 设置 地 址 
池 的 地 址 范围 ,开始 地 址 和 结束 地 址 之 间 的 地 址 数 不 能 超过 1024 个 ,如 果 只 设置 了 开始 
地 址 , 则 表示 地 址 池 中 只 有 开始 地 址 这 一 个 地 址 。 

(9) 强制 分 配 地 址 : 设置 是 否 强制 对 端 使 用 本 端 为 其 分 配 的 IP 地 址 , 即 不 允许 对 端 
使 用 自行 配置 的 IP 地 址 。 

(10) Hello 报 文 间隔 : 设置 发 送 Hello 报 文 的 时 间 间 隔 。LAC 和 LNS 之 间 会 定期 
向 对 端 发 送 Hello 报 文 ,接收 方 接收 到 Hello 报 文 后 会 进行 响应 。 当 LAC 或 LNS 在 指 
定 的 时 间 间 隔 内 未 收 到 对 端的 Hello 响应 报 文 , 则 将 重复 发 送 Hello 报 文 ,如 果 重 复发 送 
3 次 仍 未 收 到 对 端的 响应 报 文 , 则 断 开 隧 道 连接 。 

(11) AVP 数据 隐藏 : 设置 是 否 采用 隐藏 方式 传输 属性 值 对 (Attribute Value Pair， 
AVP) 数 据 。L2TP 协议 的 一 些 参数 通过 AVP 数据 来 进行 传输 ,如 果 用 户 对 这 些 数据 的 
安全 性 要 求 比较 高 ,可 以 将 AVP 数据 的 传输 方式 设置 为 隐藏 传输 , 即 对 AVP 数据 进行 
加 密 , 该 配置 项 仅 在 LAC 端 配置 有 效 。 

(12) 流量 控制 : 设置 是 否 启用 L2TP 隧道 流量 控制 功能 ,该 功能 应 用 在 数据 报 文 的 
发 送 和 接收 过 程 中 。 启 用 流量 控制 功能 后 ,会 对 接收 到 的 乱 序 报 文 进 行 缓存 和 调整 。 

(13) 强制 本 端 CHAP 认证 和 强制 LCP 重 协商 : 设置 LNS 侧 的 用 户 认证 方式 。 在 
L2TP 组 网 中 LNS 侧 的 用 户 认 证 方式 有 3 种 : 强制 本 端 CHAP 认证 ,强制 LCP 重 协 商 
和 代理 认证 。 

强制 本 端 CHAP 认证 : 启用 此 功能 后 ,对 于 由 NAS 发 起 隧道 连接 的 VPN 用 户 端 会 
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经 过 两 次 认证 。 一 次 是 用 户 端 在 NAS 端的 认证 , 另 一 次 是 用 户 端 在 LNS 端的 CHAP 
认证 。 

强制 LCP 重 协商 : 对 由 NAS 发 起 隧道 连接 的 PPP 用 户 端 ,在 PPP 会 话 开始 时 ,用 
户 先 和 NAS 进行 PPP 协商 。 若 协商 通过 , 则 由 NAS 初始 化 L2TP 隧道 连接 ,并 将 用 户 
信息 传递 给 LNS, 由 LNS 根据 收 到 的 代理 验证 信息 ,判断 用 户 是 否 合法 。 但 在 某 些 特定 
情况 下 (如 在 LNS 侧 也 要 进行 认证 与 计 费 ) , 则 需要 强制 LNS 与 用 户 间 重新 进行 LCP 协 
商 ,此 时 将 忽略 NAS 侧 的 代理 认证 信息 。 

代理 认证 : 如 果 强 制 本 端 CHAP 认证 和 强制 LCP 重 协商 功能 都 不 启用 , 则 LNS 对 
用 户 进行 的 是 代理 认证 。 在 这 种 情况 下 ,LAC 将 它 从 用 户 得 到 的 所 有 认证 信息 及 LAC 
端 本 身 配置 的 认证 方式 发 送 给 LNS。 

三 种 认证 方式 中 ,优先 级 顺序 依次 是 “强制 LCP 重 协商 之 强制 本 端 CHAP 认证 二 代 
理 认证 ”, 默 认 采 用 代理 认证 方式 。 

在 L2TP 配置 完成 后 ,还 有 一 项 需要 进行 配置 , 那 就 是 需要 新 建 一 个 用 户 。 这 是 因为 
L2TP 依赖 于 PPP 协议 提供 的 认证 功能 来 确保 连接 的 安全 性 ,而 ISP 域 中 配置 的 PPP 认 
证 方案 中 服务 器 类 型 为 Local, 即 在 路 由 器 本 地 进行 远程 用 户 的 认证 ,因此 需要 在 路 由 器 
上 新 建 一 个 用 户 ,使 用 该 用 户 的 用 户 名 和 密码 对 远程 用 户 进行 认证 。 

在 路 由 器 的 管理 平台 界面 左 侧 的 导航 栏 中 选择 “系统 管理 之 用户 管理 ,进入 用 户 管 
理 界面 ,在 用 户 管理 界面 下 单 击 创建 用 户 , 进 入 创建 用 户 界面 ,如 图 4-37 所 示 。 


也 娃 用 己 


用 户 各 (1-55 字 符 ) 访问 等 组。 [Visitor 避 
za [cossf) 确认 密码 


服务 类 型 ”三 FTP 服 务 _ 启 Telne 最 务 “三 PPP 服 务 


| 


4-37 ”创建 用 户 界面 


创建 一 个 用 户 ,其 访问 等 级 设置 为 Configure, 服 务 类 型 选中 “PPP 服务 " 复 选 框 ,然后 
单 击 应 用 按钮 即 可 。 

(1) 仅 L2TP 隧道 配置 。 

假设 存在 如 图 4-38 所 示 的 网 络 ,网 络 联通 性 已 经 配置 完成 。 要 求 配 置 L2TP 协议 ， 
使 PC, 可 以 通过 L2TP 隧道 访问 企业 内 部 网 络 。 其 中 PPP 认证 方式 采用 CHAP, 用 户 名 
和 密码 分 别 是 abc 和 123456; 为 远程 用 户 分 配 的 IP 地 址 段 为 10. 1. 2. 0/24。 


RTA RTB 
EO/0 EO/l EO/! EO/0 
202.207.120.1/24 10.1.1.1/24 10.1.1.2/24 10.1.100.1/24 
PC 


1 PC2 
202.207.120.2/24 企业 内 部 网 络 10.1.100.2/24 


图 4-38 L2TP 配置 网 络 拓扑 结构 
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从 图 4-38 中 可 以 看 出 ,这 是 一 个 典型 的 客户 端 发 起 模式 的 L2TP 网 络 。 为 简单 起 
见 ,将 远程 主机 直接 连接 到 LNS 上 ,省 略 掉 LAC 设备 和 中 间 的 网 络 。 
在 配置 之 前 ,首先 需要 保证 路 由 器 RTB 上 存在 去 往 网 络 10. 1. 2. 0/24 的 路 由 。 路 由 
器 RTA( 即 LNS) 上 L2TP 协议 的 具体 配置 如 图 4-39 一 图 4-42 所 示 。 


EE 
L2TP 配 轩 
L2TP 用 户 组 名 称 : 111 ) 字 符 ( 1- 15) 
对 庄 障 道 名 称 : 序 符 (1- 30) 
本 讽 陛 道 名 称 : | 字符 (1-30) 
隧道 验证 : 蔡 用 国 
隧道 验证 密码 ; [| 这 符 (1-16) 
PPPiAi 卫 置 
PPP 认 证 方式 : [cmaP 司 
ISP 城 名 : [sen 司 _ | Wa | we | 
PPP 地 址 配置 
PPP Server 地 址 恒 码 : [10121 |/l2552552550 上 
用 户 地 址 : por 加 | wetett: | 用 司 
[CC 敲 色 
下 豆 C 7 丽 光 而 十 写 而 


4-39 L2TP 配 置 


他 妾 用 己 


用 户 名 abc ( 1- 55 字 符 ) 访问 等 级 Configure ”加 


3 fe 01- 63 字符) 兢 窑 码 [coe 


服务 类 型 。 厂 FTP 服 务 “三 Telnet 最 务 | 局 PPP 服 务 
一 电 | 


4-40 ”创建 用 户 


在 远程 主机 PC, 上 需要 新 建 一 个 VPN 连接 。 在 “网 上 邻居 一 属性 ”界面 下 的 左上 角 
“网 络 任务 ”中 单 击 “ 创 建 一 个 新 的 连接 ”按钮 ,使 用 新 建 连接 向 导 创建 连接 。 其 中 “网 络 连 
接 类 型 选择 “连接 到 我 的 工作 场所 的 网 络 (O)? 单 选 按钮 ,如 图 4-43 所 示 。 

在 “网 络 连接 ?对 话 框 中 选择 "虚拟 专用 网 络 连接 (V)” 单 选 按钮 ,如 图 4-44 所 示 。 

在 “连接 名 ”对话 框 中 为 本 连接 定义 一 个 名 字 ,如 图 4-45 所 示 。 

注意 : 该 名 字 只 有 本 地 意义 ,与 隧道 名 称 无 关 。 

“公用 网 络 ? 对 话 框 中 选择 “不 拨 初 始 连接 (D)”, 如 图 4-46 所 示 。 

“VPN 服务 器 选择 ”对 话 框 中 输入 LNS 的 IP 地 址 ,在 此 输入 LNS 中 配置 的 PPP 
Server 地 址 10. 1. 2. 1 或 者 LNS 路 由 器 E0/0 接口 的 地 址 202. 207. 120. 1 均 可 ,如 图 4-47 
所 示 。 
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System 


1 oo-99) 


10.1.22 + 


10.12254 


图 4-43 选择 网 络 连接 类 型 


完成 连接 的 创建 后 ,在 该 连接 属性 中 的 “网 络 ” 选 项 卡 中 选择 “VPN 类 型 "为 “L2TP 
IPSec VPN”, 如 图 4-48 所 示 。 如 果 VPN 类 型 选择 为 “自动 ”, 则 同样 会 与 LNS 端 通过 协 
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图 4-45 指定 连接 名 称 


新 建 连 接 向 导 


公用 网 络 
indows 可 以 先 确认 公用 网 络 是 否 已 接 好 。 


图 4-46 公用 网 络 选择 


商 使 用 L2TP IPSec VPN。 其 他 配置 均 使 用 默认 配置 即 可 。 

由 于 VPN 类 型 使 用 的 是 “L2TP IPSec VPN”, 因 此 PC, 上 会 要 求 对 数据 进行 IPSec 
封装 ,而 在 LNS 端 只 配置 了 L2TP, 所 以 需要 在 PC 上 修改 注册 表 的 配置 ,使 PC 忽略 
IPSec 功能 。 具 体 如 下 : 在 命令 行 模式 下 执行 regedit 命令 ,弹出 “注册 表 编辑 器 ”对话 框 。 
在 左 侧 注册 表 项 目 中 逐 级 找到 “HKEY _ LOCAL _ MACHINE \ System \ 
CurrentControlSet\Services \Rasman\Parameters”, 单 击 Parameters 参数 ,接着 在 右边 
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图 4-48 选择 VPN 类 型 


窗口 空白 处 右 击 ,在 弹出 窗口 中 逐 级 选择 “新 建 /DWORD 值 ? 新 建 一 个 注册 表 值 ,将 其 命 
名 为 ProhibitIPSec, 值 设置 为 1, 如 图 4-49 和 图 4-50 所 示 。 重 新 启动 Windows。 


篇 辑 DT0ED 值 


图 4-49 新 建 注册 表 值 图 4-50 设置 注册 表 值 名 称 和 数据 
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PC 重新 启动 后 ,在 新 建 的 连接 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “连接 ”, 出 现 VPN 
连接 对 话 框 ,在 对 话 框 中 输入 用 户 名 abc 和 密码 123456, 单 击 “ 连 接 ” 按 钮 , 即 可 与 LNS 之 
间 建 立 L2TP 隧道 连接 ,如 图 4-51 所 示 。 


连接 12tp vpn 


图 4-51 PC 发 起 L2TP 连接 


L2TP 连接 建立 后 ,在 路 由 器 RTA 上 的 L2TP 隧道 信息 界面 中 可 以 看 到 已 建立 的 
L2TP 隧道 的 信息 ,如 图 4-52 所 示 。 


本 靖 降 道 编号 对 浓 隆 道 编号 。 对 注 院 道 六 口 。 。。 对 浓 障 道 |P 地 址 。 “会 话 数目 。。 对 请 隆 道 名 称 。_ 换 作 
1 10 1701 202207.1202 1 teacher049 四 


4-52 L2TP 隧道 信息 


此 时 ,在 PC 上 使 用 ipconfig 命令 查看 IP 地 址 如 下 : 


Microsoft Windows XP [版 本 5.1.2600] 
(C) 版 权 所 有 1985-2001 Microsoft Corp. 
C:\Documents and Settings\Administrator>ipconfig 
Windows IP Configuration 
Ethernet adapter 本 地 连接 : 

Connection-specific DNS Suffix .: 


PP Adireses so iss re ss 02207.120.2 
Subnet Mask ........... :255.255.255.0 
Default Gateway . . . . . . . . . : 202.207.120.1 


PPP adapter 12tp vpn: 
Connection-specific DNS Suffix . : 


人 
Subnet Mask . ， ..。.。,，。.。:255.255.255.255 
Default Gateway . . . . . . . . . : 10.1.2.2 


从 显示 的 结果 可 以 看 出 ,PC, 获得 了 企业 内 部 网 络 地 址 10. 1. 2. 2, 需 要 注意 的 是 对 
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于 L2TP VPN 连接 ,默认 网 关 给 出 的 地 址 与 PC 获得 的 IP 地 址 相同 ,同样 是 10. 1. 2. 2。 
从 PC 上 使 用 ping 命令 可 以 联通 企业 内 部 主机 PC; ,在 使 用 ping 命令 测试 的 同时 ， 
在 PC1 上 使 用 Wireshark 软件 捕获 数据 报 文 ,如 图 4-53 所 示 。 


Hile Bdit We go Captue Mnalyre Statistics Telephony Iools lelp 
CU 


User Datagram Protocol, Src Port: 12f (1701), Dst Port: 12f (1701) 
田 Layer 2 Tunneling Protocol] 

四 Point-to-Point Protocol 

加 Internet Protocol, Src: 10.1.2.2 (10.1.2.2), Dst: 10.1.100.2 (10.1.100.2) 
Internet Control Message Protocol 


加 


图 4-53 PC, 上 L2TP 数据 报 文 


从 图 4-53 中 可 以 看 到 PC, 上 的 L2TP 数据 报 文 ,其 中 内 部 IP 报头 中 的 源 IP 地 址 和 
目的 IP 地 址 分 别 为 PC 和 PC; 的 企业 内 部 地 址 10. 1. 2.2 和 10. 1. 100. 2; 外 部 IP 报头 
中 的 源 IP 地 址 为 PC, 的 公 网 地 址 202. 207. 120.2 ,目的 地 址 为 LNS 的 PPP Server 地 址 
10.1.2.1, 如 果 在 图 4-46 中 给 出 的 LNS 地 址 为 路 由 器 RTA 的 E0/0 接口 的 IP 地 址 
202. 207. 120.1, 则 外 部 IP 报头 中 的 目的 地 址 将 变 成 202. 207. 120. 1 。 

(2) L2TP 十 IPSec 隧道 配置 。 

L2TP 协议 通过 对 远程 用 户 进行 身份 认证 为 其 与 LNS 之 间 建 立 一 条 隧道 进行 数据 
的 传输 ,但 L2TP 协议 并 不 提供 数据 的 加 密 和 认证 功能 。 因 此 在 实际 应 用 中 往往 将 
L2TP 与 IPSec 结合 起 来 使 用 ,用 以 为 远程 用 户 与 企业 内 部 网 络 之 间 的 流量 进行 加 密 。 

在 此 依然 使 用 图 4-38 所 示 的 网 络 ,在 已 经 配置 了 L2TP 的 基础 上 ,要 求 增加 IPSec 
配置 ,以 实现 数据 的 加 密 和 认证 , 预 共 享 密 钥 为 123。 

在 配置 之 前 ,首先 将 PC 的 公 网 IP 地 址 修改 为 202. 207. 120. 0/24 网 段 的 另外 一 个 
地 址 ,然后 登录 路 由 器 RTA 进行 IPSec 配置 ,以 避免 配置 IPSec 后 无 法 登录 路 由 器 
RTA。IPSec 的 具体 配置 如 图 4-54 所 示 。 

部 分 配置 项 的 具体 解释 如 下 。 

@ 对 端 网 关 地 址 /主机 名 : IPSec 配置 中 必须 要 给 出 对 端 网 关 地 址 ,在 此 配置 的 是 远 
程 用 户 的 公 网 IP 地 址 范围 。 在 本 例 中 ,远程 用 户 只 有 202. 207. 120. 2, 因 此 对 端 网 关 地 
址 直接 指定 202. 207. 120. 2 即 可 。 但 是 在 实际 网 络 中 ,远程 用 户 IP 地 址 并 不 固定 ,因此 
需要 指定 一 个 IP 地 址 的 范围 ,而 在 Web 配置 界面 下 只 能 指定 单个 IP 地 址 ,此 时 就 需要 
在 命令 行 模式 下 对 对 端 网 关 地 址 范围 进行 修改 。 

假设 需要 指定 对 端 网 关 地 址 范围 为 202. 207. 120. 2 一 202. 207. 120. 254, 则 可 首先 在 
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IPSec 连 接 名 称 123 
网 关 信息 
接口 Ethemet00 ” 司 
组 网 模式 个 站 点 到 站 点 C PC 到 了 点 
网关 地 址 
对 主 同 关 地 址 庄 机 名 202 207 120 2 字符 (1-255) 
本 端 网 关 地 址 
认证 
认证 方式 
人 预 共 享 密 钥 Fe 1 128) 
证 国 
网 关 ID 
对 这 ID 闫 型 全 IP 地 址 C 网 关 名 称 
本 了 端 ID 类 型 IP 地 址 个 网 关 名 称 
王选 器 
六 法 方式 流量 桂 征 司 二 二 
廊 地 址 仔 配 符 ooo /255 255 255 255 * 
目的 地 址 体 配 符 [202 207 120 2 000 : 
高 级 
第 一 阶段 
交换 模式 人 主 模式 入 时 本 模式 
认证 算法 SHA1 国 
加 区 算 法 DES 
DH Difie-Heliman Group1 司 
SA 的 生存 周期 64o0 秒 ( 60- 604800， 缺 省 值 = 86400) 
第 二 阶段 
协议 ESP ” 辕 
ESP 认 证 算法 No5 司 
ESP 加 密 算 法 3DES 加 
对 装 模 式 个 随 首 模式 人 传输 模式 
PFS None 本 | 
SA 的 生存 周期 
基于 时 间 的 生存 周期 3600 秒 〈180- 604800， 缺 省 值 = 3600) 
基于 流量 的 生存 周 由 250000 千 字 节 | ( 2560- 4294967295， 缺 省 值 = 1843200) 1843200) 
DPD CO 开 局 全 关闭 
[| 
选择 加 密 卡 
sl 
Ee Pel w | 


图 4-54 与 L2TP 结合 的 IPSec 配置 


Web 界面 下 配置 对 端 网 关 地 址 为 任意 一 个 地 址 或 不 配置 对 端 网 关 地 址 。 在 Web 界面 下 
对 IPSec 配置 完成 后 ,使 用 超级 终端 登录 路 由 器 ,执行 display current-configuration 命 
令 , 显 示 结 果 如 下 : 
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[RTA]display current-configuration 
一 一 一 output omitted- 
提 

ike peer 123 

proposal 1 
pre-shared-key cipher TEzJOUGCmuE= 
remote-address 202.207.120.2 

nat traversal 


# 


output omitted———— 


从 上 面 的 显示 结果 可 以 看 出 ,在 Web 界面 下 配置 了 对 端 网 关 地 址 为 202. 207. 120. 2， 
修改 其 地 址 范围 为 202. 207. 120. 2 一 202. 207. 120. 254 的 命令 如 下 : 

[RTA]ike peer 123 

[RTA-ike-peer-123]remote-address 202.207.120.2 202.207.120.254 

@ 源 地 址 /通配符 : 由 于 远程 用 户 需 要 访问 企业 内 部 网 络 ,因此 源 地 址 /通配符 配置 
的 是 允许 远程 用 户 访问 的 企业 内 部 网 络 的 地 址 范围 。 如 果 人 允许 远程 用 户 访问 企业 内 部 网 
络 的 任何 部 分 ,可 以 简单 地 将 其 设置 为 0. 0. 0. 0/255. 255. 255. 255 。 

@ 目的 地 址 /通配符 : 设置 远程 用 户 的 公 网 IP 地 址 范围 , 即 哪些 IP 地 址 的 公 网 用 户 
可 以 匹配 IPSec 策略 。 此 项 配置 与 对 端 网 关 地 址 的 配置 类 似 , 一 般 也 是 一 个 地 址 范围 ,而 
且 地 址 范围 应 与 对 端 网 关 地 址 范围 完全 相同 。 但 为 了 简单 起 见 , 在 本 例 中 将 其 设置 为 一 
个 IP 地址 202. 207. 120. 2, 这 是 因为 如 果 设 置 为 202. 207. 120. 0/0. 0. 0. 255, 则 PC, 配置 
为 202. 207. 120. 0/24 网 段 的 任何 一 个 地 址 其 流量 均 会 触发 该 筛选 器 ,使 路 由 器 要 求 建立 
IPSec 隧道 ,而 PC, 此 时 只 有 本 地 连接 ,从 而 导致 PC, 无 法 连接 到 路 由 器 。 这 也 是 在 进行 
IPSec 配置 之 前 修改 PC 的 IP 地 址 的 原因 。 

@ 第 一 阶段 的 加 密 算法 和 DH: 由 于 Windows XP 系统 只 支持 DES 和 3DES 两 种 
加 密 算法 以 及 Diffie-Hellman Groupl 和 Diffie-Hellman Group2 两 种 DH 算法 ,因此 第 
一 阶段 的 加 密 算法 和 DH 算法 必须 要 选择 PC 上 的 Windows XP 系统 支持 的 算法 。 

@ 第 二 阶段 的 加 密 算法 : 同样 只 能 选择 DES 和 3DES 两 种 加 密 算法 。 

@ 封装 模式 : 必须 选择 IPSec 的 封装 模式 为 传输 模式 。 

@ 基于 流量 的 生存 周期 : 为 与 PC, 上 的 Windows XP 系统 相 匹配 ,第 二 阶段 SA 的 
基于 流量 的 生存 周期 必须 设置 为 250000。 

路 由 器 上 配置 完成 后 , 先 将 PC 的 公 网 IP 地 址 修改 回 202. 207. 120. 2 ,然后 进行 一 
些 配置 上 的 修改 。 

Oa 将 上 一 节 中 增加 的 注册 表 参 数 ProhibitIPSec 删除 或 将 其 值 修改 为 0, 并 重新 启动 
计算 机 ,使 PC, 具备 IPSec 的 功能 。 

@ 在 PC 上 启动 IPSec Services 服务 ,如 图 4-55 所 示 。 

(3) 在 上 一 节 创 建 的 VPN 连接 属性 中 的 “安全 ?选项 卡 中 单 击 “IPSec 设置 ?按钮 ,在 
弹出 的 对 话 框 中 选中 * 使 用 预 共享 的 密 钥 做 身份 验证 ” 复 选 框 ,并 输入 预 共 享 密 钥 123 ,如 
图 4-56 所 示 。 
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图 4-56 输入 预 共享 密 钥 


配置 完成 后 ,在 VPN 连接 上 布 击 ,在 弹出 的 快捷 菜单 中 选择 “连接 ”, 出 现 VPN 连接 
对 话 框 ,在 对 话 框 中 输入 用 户 名 abc 和 密码 123456, 单 击 “ 连 接 ” 按 钮 , 即 可 与 LNS 之 间 建 
立 L2TP 十 IPSec 的 隧道 连接 。 

连接 建立 后 ,从 PC 上 使 用 ping 命令 可 以 联通 企业 内 部 主机 PC; ,在 使 用 ping 命令 
测试 的 同时 ,在 PC 上 使 用 Wireshark 软件 捕获 数据 报 文 ,如 图 4-57 所 示 。 

从 图 4-57 中 可 以 看 出 ,L2TP 报 文 被 ESP 协议 加 密封 装 ,外 部 IP 报头 没有 改变 。 


加 
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l2tptipsec-esp. pcap — Wireshark 


File Edit Vies Go Capture bmalyre Statistics Telephony Tools Help 
[TTTTTLLETEYEYEESIS 


0.2 
202.207.120.2 ESP 


ESP (SP 54/d 
ESP_〔SPI=0x47a3 辐 


2UL .LU/ .< 
10.1.2.1 


> U./35810) 
6 0.740038 


田 Frame 5 (150 bytes on wire, 150 bytes captured) 
田 Ethernet II, Src: HonHaipr_3b:78:88 (90:fb:a6:3b:78:88), Dst: Hangzh' 
Internet Protocol, Src: 202.207.120.2 (202.207.120.2), Dst: 10.1.2.1 


日 Encapsulating Security Payload 
ESP SPI: Ox847c8el0 
ESP Sequence: 57 


图 4-57 PC, 上 L2TP 十 IPSec 数据 报 文 


L2TP 十 IPSec 封装 的 报 文 结构 如 图 4-58 所 示 。 
L2TP 协 议 封装 报 文 结构 


IP 报 头 Ny 光 | IP 报 头 | gp 

( 公 网 地 址 ) UDP 头 | L2TP 关 | PPP 头 |( 私 有 地 址 )| 数据 
Ps pa 1 
a RR 1 1 


“ 1 1 


IP 报 头 和 、 。 。 
( 公 网 地 址 )| ESP 头 | UDP 头 | L2TP 头 | PPP 头 | 数据 | ESP 尾 | ESPICV 


L2TP+IPSec 封 装 报 文 结构 
图 4-58 L2TP 十 IPSec 封装 报 文 结构 


图 4-58 与 图 4-13 相对 应 ,ESP 协议 将 L2TP 的 封装 作为 传输 层 报 文 进 行 了 加 密 和 
认证 ,保持 原始 的 外 部 IP 报头 不 变 。 这 也 解释 了 在 图 4-54 中 进行 IPSec 配置 时 “对 端 网 
关 地 址 /主机 名 ”和 “目的 地 址 /通配符 ”中 为 什么 配置 的 均 为 远程 用 户 的 公 网 IP 地 址 范 
围 , 而 不 是 为 远程 用 户 分 配 的 企业 内 部 IP 地 址 范围 。 

注意 : 在 建立 了 L2TP 十 IPSec 隧道 连接 后 ,PCi 将 无 法 ping 通路 由 器 RTA 的 E0/0 
接口 的 IP 地 址 202. 207. 120. 1, 但 可 以 ping 通路 由 器 RTA 的 E0/1 接口 的 IP 地 址 
10.1.1.1 以 及 企业 内 部 网 络 中 的 所 有 IP 地址 。 

4.4.2 Easy VPN 

在 Cisco 设备 上 ,远程 访问 VPN 一 般 采 用 Easy VPN 的 方式 实现 。Easy VPN 的 架 
构 包 括 如 下 两 部 分 。 

(1) 在 网 络 设备 上 的 远程 访问 VPN 服务 器 。 

(2) Cisco Easy VPN Remote, 如 在 远程 用 户 计算 机 上 的 Cisco VPN 客户 端 软件 、 
Easy VPN 硬件 客户 端 或 在 网 络 设 备 上 配置 的 Easy VPN 客户 端 。 

Easy VPN 将 大 量 VPN 通信 的 管理 工作 ,如 定义 大 量 VPN 通信 和 参数、 对 远 端 VPN 
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对 等 体 进行 失效 检查 等 ,集中 在 VPN 服务 器 一 端 进行 。 因 此 与 站 到 站 VPN 不 同 , 实 施 
Easy VPN 时 ,VPN 服务 器 和 VPN 客户 端的 配置 操作 有 很 大 区 别 。 


1. Easy VPN 服务 器 配置 

与 站 到 站 VPN 相 比 ,Easy VPN 为 简化 在 客户 端的 配置 , 除 提 供 建立 VPN 安全 隧道 
的 基本 功能 外 ,还 提供 以 下 功能 : 

(1) 一 旦 VPN 安全 通道 建立 成 功 ,Easy VPN 服务 器 可 以 为 远程 访问 用 户 分 配 访问 
公司 内 部 网 络 的 IP 地 址 ,使 其 可 以 像 使 用 专用 线路 一 样 访问 公司 网 络 , 并 自动 建立 NAT 
或 PAT, 关 联 必要 的 ACL。 

(2) 对 用 户 身 份 进行 认证 ,以 对 其 进行 访问 控制 。 

(3) 由 Easy VPN 服务 器 端 将 VPN 安全 通道 的 各 项 参数 作为 组 策略 推送 到 VPN 客 
户 端 。 

Easy VPN 服务 器 与 Easy VPN 客户 端 之 间 对 等 体 的 会 话 步骤 如 下 : 

(1) 使 用 ISAKMP 在 Easy VPN 服务 器 与 Easy VPN 客户 端 间 进 行 认 证 。 

(2) 使 用 IKE 扩展 认证 (IKE Extended Authentication, XAuth) 对 用 户 身份 进行 
认证 。 

(3) 通过 认证 后 ,VPN 服务 器 向 VPN 客户 端 推送 组 策略 。 

(4) 创建 IPSec SA。 

由 于 以 上 所 述 变换 ,在 Easy VPN 服务 器 一 端 , 除 需要 进行 I SAKMP 策略 、 变 换 集 和 
加 密 图 的 定义 以 及 应 用 加 密 图 等 操作 外 ,还 需要 以 下 配置 操作 : 

(1) 增加 IP 地 址 池 等 有 关 配 置 。 

(2) 增加 用 户 身份 认证 ,授权 的 配置 。 

(3) 增加 推送 组 策略 的 定义 。 

(4) 将 所 定义 的 身份 认证 ,授权 等 与 加 密 图 绑 定 在 一 起 。 

Easy VPN 服务 器 端 配置 涉及 的 命令 如 下 。 

(1) 创建 为 远程 用 户 分 配 企 业内 部 IP 地 址 的 地 址 池 。 


Router(config) # ip local pool {default| pool-name low-ip-address high-ip-address)} 
(2) 为 远程 用 户 配 置 AAA 策略 。 


Router(config) # aaa new-model 
Router(config) # aaa authentication login listname local [method]1 [method2]] 
Router(config) # aaa authorization network list-name local [method]1 [method2]] 


关于 AAA 技术 将 在 第 6 章 进行 详细 介绍 ,在 此 认证 和 授权 方案 采用 Local 即 可 , 即 
采用 本 地 认证 和 授权 。 因 此 还 需要 在 路 由 器 上 配置 用 户 名 和 密码 ,以 供 远 程 用 户 登 录 认 
证 使 用 。 具 体 命 令 如 下 : 


Router(config) # username username password password 
(3) 为 远程 用 户 访问 创建 IKE 策略 。 


Router(config) # crypto isakmp policy priority 
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Router(config-isakmp) # authentication pre-share 
Router(config-isakmp) encryption {des|3des|aes} 
Router(config-isakmp) # group 2 
Router(config-isakmp) # hash {md5|sha} 
Router(config-isakmp) # lifetime {lifetime 


在 Easy VPN 配置 IKE 策略 时 ,group 只 能 配置 为 2。 
(4) 创建 推送 到 客户 端的 组 策略 。 


Router(config) # crypto isakmp client configuration group group-name 
Router(config-isakmp-group) # key key-string 
Router(config-isakmp-group) # pool pool-name 
Router(config-isakmp-group) # dns dns-ip-address 
Router(config-isakmp-group) # domain domain-name 
Router(config-isakmp-group) # netmask netmask 


其 中 , 预 共 享 密 钥 和 地 址 池 必 须 进行 配置 。 
(5) 创建 一 个 变换 集 。 


Router(config) # crypto ipsec transform-set trans fornrset-name 
{ah-md5-hmac|ah-sha-hmac|esp-des|esp-3des|esp-aes|esp-md5-hmac|esp-sha-hmac} 


为 保证 一 条 安全 隧道 连接 ,Easy VPN 不 支持 提供 加 密 但 不 提供 认证 的 变换 集 ,也 不 


支持 提供 认证 但 不 进行 加 密 的 变换 集 。 


(6) 创建 动态 加 密 图 。 


Router(config) # crypto dynamic-map dynamic-map-name dynamic-map-number 
Router(config-crypto-map) # set transform-set transfornrset-name 
Router(config-crypto-map) # reverse-route 


其 中 ,reverse-route 命令 用 来 为 每 一 个 VPN 客户 端的 内 部 IP 地 址 在 Easy VPN 服 


务 器 上 创建 一 条 静态 路 由 ,以 保证 IPSec 隧道 的 返回 数据 能 够 找到 该 隧 道 。 


(7) 配置 VPN 服务 器 响应 客户 端 请 求 并 为 其 授权 的 方案 。 


Router(config) # crypto map maprname client configuration address respond 
Router(config ) # crypto map maprname client authentication list list-name 
Router(config ) # crypto map maprname isakmp authorization list listname 


(8) 配置 加 密 图 。 
Router(config) # crypto map maprname seq-number ipsec-isakmp dynamic dynamic-map-name 


动态 加 密 图 不 能 直接 应 用 在 接口 上 ,因此 需要 创建 一 个 静态 加 密 图 并 将 动态 加 密 图 


插入 到 静态 加 密 图 中 。 


(9) 将 加 密 图 应 用 到 接口 上 。 
Router(config-if) # crypto map maprname 


(10) 启用 IKE 失效 对 等 体检 测 。 


Router(config) # crypto isakmp keepalive second 
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2. Easy VPN 客户 端 配 置 
使 用 Cisco VPN 客户 端 软件 ,可 以 帮助 用 户 连接 到 Easy VPN 服务 器 ,建立 IPSec 
VPN 安全 隧道 ,该 软件 的 主 窗口 如 图 4-59 所 示 。 


图 4-59 Cisco VPN 客户 端 软件 主 窗口 


(1) 创建 VPN 连接 配置 项 并 定义 连接 参数 。 
在 主 窗口 中 单 击 “New” 图 标 新 建 一 个 连接 配置 ,出 现 如 图 4-60 所 示 的 “创建 新 VPN 
连接 ”窗口 ,在 该 窗口 中 输入 VPN 连接 所 需 参 数 。 


Create Hew YPH Connection Entry 


图 4-60 ”新建 VPN 连接 配置 窗口 


在 “创建 新 VPN 连接 ”窗口 中 ,建立 预 共 享 密 钥 方式 VPN 连接 所 需 的 必要 参数 有 : 
VPN 服务 器 地 址 Host、 组 策略 名 Name、 组 策略 预 共 享 密 钥 Password 和 Confirm 
Password。 

例如 ,如 果 Easy VPN 服务 器 的 IP 为 200. 100. 15. 205 ,在 Easy VPN 服务 器 上 为 远 
程 访问 用 户 配置 了 组 策略 rvpn-1, 组 策略 预 共 享 密 钥 为 *123”, 则 可 以 设置 Host 为 
200. 100. 15. 205，Name 为 rvpn-1,Password 和 Confirm Password 为 123。 
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配置 完成 后 , 单 击 Save 按钮 保存 , 则 在 主 窗口 中 会 出 现 新 定义 的 VPN 连接 项 记录 。 

(2) 建立 VPN 连接 。 

在 保证 运行 该 客户 端 软件 的 计算 机 已 能 连接 到 Internet 的 情况 下 ,选择 Cisco VPN 
客户 端 软件 窗口 中 已 经 配置 好 的 VPN 连接 项 ,然后 单 击 窗 口上 方 的 Connect 图 标 , 连 接 
Easy VPN 服务 器 。 

在 建立 连接 过 程 中 ,如 果 协 商 ISAKMP 策略 通过 , 则 Cisco VPN 客户 端 软 件 会 弹出 
如 图 4-61 所 示 窗 口 , 让 用 户 输入 用 户 名 和 口令 。 在 该 窗口 中 输入 在 Easy VPN 服务 器 上 
配置 的 用 户 名 及 口令 , 单 击 OK 按钮 ,发 送 用 户 信息 。 


2 YPH Client | Vser Authentication fereier xX| 


The server has requested the following infornation to conplete 
the user authentication 


inh Wernane: J 
SIS€0 J ssvord: | 


CE ee | 


4-61 ”用户 登录 认证 窗口 


如 果 通 过 身份 认证 ,并 且 客 户 端 能 与 服务 器 成 功 协 商 建立 IPSec SA, 则 在 主 窗口 相 
应 连接 项 前 将 出 现 一 个 网 图 标 。 此 时 ,在 命令 行 界面 下 执行 ipconfig 命令 可 以 看 到 客 
户 端 获得 了 企业 内 部 网 络 地 址 。 


3.Easy VPN 配置 举例 
在 此 依然 使 用 图 4-38 所 示 的 网 络 进行 Easy VPN 的 配置 。 路 由 器 RTA 上 的 具体 配 
置 命令 如 下 ， 


RTA(config) # ip local pool pool-rvpn 10.1.2.2 10.1.2.254 
RTA(config) # aaa new-model 

RTA(config) # aaa authentication login authen-vpn local 
RTA(config) # aaa authorization network author-vpn local 
RTA(config) # username abc password 123456 

RTA(config) # crypto isakmp policy 10 

RTA(config-isakmp) # authentication pre-share 
RTA(config-isakmp) # encryption 3des 

RTA(config-isakmp) # group 2 

RTA(config-isakmp) # hash md5 

RTA(config-isakmp) # exit 

RTA(config) # crypto isakmp client configuration group grp-vpn 
RTA(config-isakmp-group) # key 123 
RTA(config-isakmp-group) # pool pool-rvpn 
RTA(config-isakmp-group) # netmask 255.255.255.0 
RTA(config-isakmp-group) # exit 

RTA(config) # crypto ipsec transform-set ts-vpn esp-3des esp-md5-hmac 
RTA(cfg-crypto-trans) # exit 

RTA(config) # crypto dynamic-map dmap-vpn 10 
RTA(config-crypto-map) # set transform-set ts-vpn 
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RTA(config-crypto-map) # reverse-route 

RTA(config-crypto-map) # exit 

RTA(config) # crypto map map-vpn client configuration address respond 

RTA(config) # crypto map map-vpn client authentication list authen-vpn 

RTA(config) # crypto map map-vpn isakmp authorization list authorvpn 

RTA(config) # crypto map map-vpn 10 ipsec-isakmp dynamic dmap-vpn 

RTA(config) # interface FastEthernet 0/0 

RTA(config-if) # crypto map map-vpn 

配置 完成 后 ,在 PC, 上 安装 并 配置 Easy VPN 客户 端 软件 ,连接 成 功 后 在 PC, 的 命 
信行 界面 下 执行 ipconfig 命令 可 以 看 到 其 获得 了 企业 内 部 地 址 10. 1. 2. 2。 


4.5 模拟 公司 网 络 安全 通信 配置 方案 


根据 4. 1 节 模 拟 公司 网 络 安全 通信 需求 ,可 在 分 支 机 构 B-1 边界 路 由 器 上 进行 以 下 
配置 。 
(1) 站 到 站 VPN ,其 各 项 参数 如 表 4-1 所 示 。 
表 4-1 站 到 站 VPN 配置 参数 


心 


ISAKMP 策略 变换 集 参数 加 密 图 参数 
优先 级 : 1 变换 集 名 : ts-vpn- 公 司机 构 代 号 | 加 密 图 名 : map-vpn 
加 密 算法 : 3DES 封装 协议 及 加 密 算 法 :| 加 密 图 条 目 序号 : 公司 机 构 
散 列 算法 : SHA ESP-3DES 代号 
D-H 算法 : 2 封装 协议 及 认证 算法 : ESP- 
认证 方式 : 预 共 享 密 钥 SHA-HMAC 


预 共享 密 钥 : 随机 生成 


(2) 远程 访问 VPN, 其 主要 配置 参数 如 表 4-2 所 示 。 
表 4-2 远程 访问 VPN 配置 参数 


ISAKMP 策略 变换 集 参 数 加 密 图 参数 
优先 级 : 1 变换 集 名 : ts-rvpn 加 密 图 名 : map-vpn 
加 密 算 法 : 3DES 封装 协议 及 加 密 算 法 :| 动态 加 密 图 名 : dmap-rvpn 
散 列 算法 : SHA ESP-3DES 加 密 图 条 目 序号 : 100 
D-H 算法 : 2 封装 协议 及 认证 算法 : ESP- 
认证 方式 : 预 共 享 密 钥 SHA-HMAC 


预 共 享 密 钥 : 随机 生成 


表 4-1 中 “公司 机 构 代号 ”为 公司 所 有 机 构 网 络 的 数字 编号 。 分 支 机构 与 公司 其 他 
网 络 对 等 体 间 预 共享 密 钥 使 用 随机 算法 生成 ,每 月 更 换 。 
表 4-2 中 分 别 使 用 ts-rvpn 作为 变换 集 名 动态 加 密 图 名 。 


人 
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4.6 小 结 


作为 一 种 防止 窃听 和 恶意 算 改 的 技术 ,VPN 通过 对 数据 进行 加 密 和 散 列 来 实现 数据 
的 机 密 性 、 完 整 性 和 反 拒 认 功 能 。 本 章 基 于 模拟 公司 网 络 安全 通信 的 需求 ,对 站 到 站 
VPN 技术 和 远程 访问 VPN 技术 分 别 进行 了 介绍 ,其 中 站 到 站 VPN 主要 介绍 了 IPSec 
VPN 的 实现 ; 远程 访问 VPN 分 别 对 H3C 设备 上 的 L2TP VPN 的 实现 和 Cisco 设备 上 
的 Easy VPN 的 实现 进行 了 介绍 。 


4.7 习题 


1. 按照 加 密 算法 工作 方式 的 不 同 , 可 以 将 加 密 技术 分 成 哪 两 种 ”其 典型 的 加 密 算法 
分 别 有 哪 些 ? 
.请 简 述 散 列 算法 的 特点 。 
. 请 简 述 ESP 协议 和 AH 协议 的 主要 区 别 。 
.IKE 协商 可 以 分 为 哪 两 个 阶段 ”在 进行 第 一 个 阶段 协商 时 有 哪 两 种 不 同 的 工作 模式 ? 
. L2TP 隧道 的 建立 有 哪 两 种 模式 ?分 别 由 谁 发 起 隧道 连接 ? 


cm mo 


4.8 实 训 

4.8.1 站 到 站 VPN 配置 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 3 人 。 


1. 实验 目的 
掌握 基于 IPSec 的 站 到 站 VPN 的 配置 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 3 台 
(2) 路 由 器 : 2 台 

(3) 二 层 交 换 机 : 1 台 

(4) UTP 电缆 : 6 条 

(5) Console 电缆 : 3 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 


3. 实验 内 容 
配置 和 验证 站 到 站 VPN 。 


4. 实验 指导 
(1) 按照 图 4-62 所 示 的 网 络 拓 扑 结 构 搭 建 网 络 , 完 成 网 络 连接 。 
(2) 按照 图 4-62 所 示 为 路 由 器 和 PC 配置 IP 地 址 ,在 路 由 器 RTA 和 RTB 上 配置 
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RTA 


EO0/1:10.0.x.2/24 


四 | 10.x.1.254/24 


PC 
10.x.1.1/24 E1/0/1 


E1/0/2 E1/0/24 


Lm | 10.x.2.254/24 EO0/1:10.0.x.3/24 一 
PC; PC3 
10.x.2.1/24 10.0.x.10/24 


图 4-62 站 到 站 VPN 配置 实 训 


RIPv2 协议 以 及 配置 默认 路 由 ,实现 整个 网 络 的 联通 性 。 

(3) 在 交换 机 SWA 上 配置 端口 镜像 ,将 端口 E1/0/1 和 El1/0/2 的 出 入 站 流量 均 镜 
像 到 端口 E1/0/24 上 。 

H3C 设备 参考 命令 如 下 : 


[SWA] mirroring-group 1 local 
[SWA]mirroring-group 1 mirroring-port Ethernet 1/0/1 to Ethernet 1/0/2 both 
[SWA]mirroring-group 1 monitor-port Ethernet 1/0/24 


Cisco 设备 参考 命令 如 下 : 


SWA(config) # monitor session 1 source interface FastEthernet 0/1 - 2 both 
SWA(config) # monitor session 1 destination interface FastEthernet 0/24 


(4) 在 路 由 器 RTA 和 RTB 上 配置 基于 IPSec 的 站 到 站 VPN 来 保护 PC 和 PC, 所 
在 网 段 之 间 的 通信 流量 。 要 求 对 等 体 身份 认证 采用 预 共 享 密 钥 的 方式 , 预 共享 密 钥 为 
123456; IPSec 封装 协议 采用 AH 协议 ; 其 他 配置 均 使 用 系统 默认 配置 。 

H3C 路 由 器 RTA 上 的 IPSec 参考 配置 如 图 4-63 所 示 。 

Cisco 路 由 器 RTA 上 的 IPSec 参考 配置 命令 如 下 : 


RTA(config) # crypto isakmp policy 10 

RTA(config-isakmp) # authentication pre-share 
RTA(config-isakmp) # encryption des 

RTA(config-isakmp) # group 1 

RTA(config-isakmp) # hash sha 

RTA(config-isakmp) # lifetime 86400 

RTA(config-isakmp) # exit 

RTA(config) # crypto isakmp key 0 123456 address 10.0.x.3 
RTA(config) # crypto ipsec transform-set ts-vpn ah-md5-hmac 
RTA(cfg-crypto-trans) # exit 

RTA(config) # ip access-list extended eacl-vpn 
RTA(config-ext-nacl) # permit ip 10.x.1.0 0.0.0.255 10.x.2.0 0.0.0.255 
RTA(config-ext-nacl) # exit 
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IPSec 连接 名 称 antolan “字符 (1-32) 
网 关 信息 
接口 Ethemet0/1 辐 
组 网 模式 他 站 点 到 站 点 个 PC 到 站 点 
网 关 地 址 
对 请 网 关 地 址 庄 机 名 10.0x3 * 子 符 〔1- 255) 
本 端 网 关 地 址 
认证 
认证 方式 
人 预 共 享 窗 钥 "字符 (1- 128) 
C$ 
网关 ID 
对 请 ID 类 型 
本 端 iD 类 型 
第 选 器 
征 选 方式 流量 特征 司 
源 地 址 体 配 符 10x10 而 00255 * 
目的 地 址 体 配 符 Fox20 .0.0.255 * 
了 高 级 
第 一 阶段 
交换 模式 人 主 模式 C 时 查 模式 
认证 算法 [stA1 司 
加 密 算 法 DES M4 
DH [DeHelman Group1 司 
SA 的 生存 周期 sso 秒 〈 60- 604800， 缺 省 值 = 86400) 
第 二 阶段 
协议 AH 司 
AH 认证 算法 MD5 -| 
封装 模式 全 隆 道 模式 个 传输 模式 
PFS None 可 
SA 的 生存 周期 
基于 时 间 的 生存 周期 3600 秒 〈 180- 604800,， 缺 省 值 = 3600) 
基于 流量 的 生存 周期 1843200 千 字 节 〈 2560 4294967295， 缺 省 值 : 
DPD 六 开启 @@ 关 闭 
< | 
选择 加 密 卡 
> | 
层 号 ( *) 为 必须 填写 项 
确定 | 取消 


图 4-63 路 由 器 RTA 上 IPSec 配置 
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RTA(config) # crypto map map-vpn 10 ipsec-isakmp 

RTA(config-crypto-map) # set peer 10.0.x.3 

RTA(config-crypto-map) # set transform-set ts-vpn 

RTA(config-crypto-map) # match address eacl-vpn 

RTA(config-crypto-map) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # crypto map map-vpn 

路 由 器 RTB 上 的 IPSec 配置 与 RTA 类 似 , 区 别 是 RTB 上 设置 的 对 端 网 关 地 址 / 主 
机 名 为 10. 0. x. 2, 基 于 流量 特征 的 筛选 条 件 与 路 由 器 RTA 完全 对 称 。 

(5) 配置 完成 后 ,在 PC, 上 使 用 ping 命令 连接 PC; ,同时 在 PCs 上 使 用 Wireshark 
软件 捕获 数据 报 文 。 查 看 捕获 的 数据 报 文中 IKE 协议 两 个 阶段 协商 的 过 程 , 了 解 使 用 主 
模式 进行 ISAKMP SA 协商 的 3 对 消息 的 协商 内 容 ; 查看 AH 封装 的 数据 报 文 ,比较 数 
据 报 文 中 内 部 IP 报头 ( 原 IP 报头 ) 和 外 部 IP 报头 (新 IP 报头 ) 中 源 IP 地 址 和 目的 IP 地 
址 的 区 别 ; 给 出 AH 协议 的 报 文 封装 结构 。 

(6) 分 别 在 路 由 器 RTA 和 RTB 上 查看 已 建立 的 IPSec 隧道 信息 ,比较 两 台 路 由 器 
上 IPSec 隧道 的 流量 特征 和 SPI 是 否 对 称 。 


5. 实验 报告 
对 端 网 关 地 址 /主机 名 
RTA 、 源 地 址 /通配符 
wel 目的 地 址 /通配符 
对 端 网 关 地 址 /主机 名 
RTB 和 源 地 址 /通配符 
ld 目的 地 址 /通配符 
ISAKMP SA 协 第 一 对 消息 第 二 对 消息 第 三 对 消息 
商 报 文 Next payload 
内 部 IP 报头 源 IP 地 址 目的 IP 地 址 
AH 报 文 
外 部 全 报头 源 IP 地 址 目的 IP 地 址 
AH 协议 报 文 
封装 结构 
流量 特征 SITC dst 
RTA 
SPI in out 
IPSec 隧道 监控 
信息 流量 特征 SIC dst 
RTB 
mn Out 
SPI 


4.8.2 远程 访问 VPN 配置 实 训 
实验 学 时 : 4 学时。 


/YY 计算 机 网 络 安全 与 管理 (第 2 版 ) 


4 每 组 实验 学 生 人 数 : 4 人 。 


1. 实验 目的 
掌握 基于 (L2TP 二 IPSec)/Easy VPN 的 远程 访问 VPN 配置 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 5 台 

(2) 路 由 器 : 4 台 

(3) 三 层 交 换 机 : 1 台 

(4) 二 层 交 换 机 : 1 台 

(5) UTP 电缆 : 11 条 

(6) Console 电缆 : 5 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 

3. 实验 内 容 

配置 和 验证 远程 访问 VPN。 

4. 实验 指导 

(1) 按照 图 4-64 所 示 的 网 络 拓扑 结构 搭建 网 络 , 完 成 网 络 连接 。 其 中 交换 机 SWA 与 
路 由 器 RTA .RTB、RTC 和 RTD 分 别 使 用 接口 E1/0/1、E1/0/2、E1/0/3 和 E10/4 相连 。 


RTA 
192.168.1.0/24| 


EO/ 


10.x.1.0/25 


192.168.2.0/24， 


10.x.2.0/25 
RTC 10.x.3.0/25 


EO0/0 


10.x.4.0/25 
PCs 


RTD 10.0.x.10/24 


192.168.4.0/24 


E0/0 EO/l1 


PC 
PC， 
3 168.3.0/24 
PC 
PCi 


4-64 远程 访问 VPN 配置 实 训 


(2) 按照 图 4-64 所 示 为 路 由 器 、 交 换 机 和 PC 配置 IP 地 址 ,其 中 路 由 器 的 E0/0 接口 
使 用 相应 网 段 中 的 最 后 一 个 可 用 地 址 ,PC 一 PC, 使 用 相应 网 段 中 的 第 一 个 可 用 地 址 ,路 
由 器 的 E0/1 接口 和 相连 的 交换 机 SWA 接口 分 别 使 用 相应 网 段 的 前 两 个 可 用 地 址 ,PCs 
的 网 关 地 址 设置 为 交换 机 SWA 的 接口 E1/0/24 的 IP 地 址 10. 0. x.2。 在 4 台 路 由 器 和 
交换 机 SWA 上 仅 配 置 默认 路 由 保障 整个 网 络 的 联通 性 。 

H3C 设备 参考 命令 如 下 : 
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RTA |interface Ethernet 0/0 
RTA-Ethernet0/0]ip address 192.168.1.254 24 
RTA-Ethernet0/0] quit 

RTA]interface Ethernet 0/1 
RTA-Ethernet0/1]ip address 10.x.1.1 25 
RTA-Ethernet0/0] quit 

RTA]ip route-static 0.0.0.0 0 10.x.1.2 


一 一 -其 他 3 台 路 由 器 配置 略 一 -一 


SWA]interface Ethernet 1/0/1 
SWA-Ethernetl/0/1] port link-mode route 

SWA-Ethernet1/0/1]ip address 10.x.1.2 25 

SWA-Ethernet1/0/1]quit 

-一 -一 接口 Ethernet 1/0/2、Ethernet 1/0/3、Ethernet 1/0/4 配置 略 一 一 一 
[SWA]interface Ethernet 1/0/24 

[SWA-Ethernetl/0/24] port link-mode route 
[SWA-Ethernet1/0/24]ip address 10.0.x.2 24 
SWA-Ethernet1/0/24] quit 


SWA]ip route-static 0.0.0.0 0 10.0.x.1 


Cisco 设备 参考 命令 如 下 : 


RTA(config) # interface FastEthernet 0/0 

RTA(config-if) #ip address 192.168.1.254 255.255.255.0 
RTA(config-if) # no shutdown 

RTA(config-if) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) # ip address 10.x.1.1 255.255.255.128 
RTA(config-if) # no shutdown 

RTA(config-if) # exit 

RTA(config) # ip route 0.0.0.0 0.0.0.0 10.x.1.2 

一 -一 其 他 3 台 路 由 器 配置 略 一 一 一 


SWA(config) # interface FastEthernet 0/1 
SWA(config-if) # no switchport 

SWA(config-if) #ip address 10.x.1.2 255.255.255.128 
SWA(config-if) # exit 

一 -一 接口 FastEthernet 0/2、FastEthernet 0/3、FastEthernet 0/4 配置 略 一 一 一 
SWA(config) # interface FastEthernet 0/24 
SWA(config-if) # no switchport 

SWA(config-if) #ip address 10.0.x.2 255.255.255.0 
SWA(config-if) # exit 

SWA(config) # ip routing 

SWA(config) #ip route 0.0.0.0 0.0.0.0 10.0.x.1 


配置 完成 后 ,在 4 台 路 由 器 上 使 用 ping 命令 测试 与 外 部 网 络 的 联通 性 ,应 该 可 以 
ping 通 。 但 需要 注意 此 时 PC 一 PC, 均 无 法 联通 外 部 网 络 ,因为 交换 机 SWA 并 不 知道 
PC 所 在 网 段 的 存在 。 在 本 实验 中 PC, 一 PC, 模拟 远程 用 户 ,4 台 路 由 器 分 别 扮演 4 个 
LNS 的 角色 ,而 路 由 器 的 E0/1 接口 连接 的 部 分 (包括 外 网 网 云 ) 作 为 企业 内 部 网 络 出 现 。 
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本 实验 希望 通过 为 PC 一 PC, 分 配 企业 内 部 网 络 地址 ,使 其 可 以 访问 企业 内 部 网 络 (实际 
上 就 是 PCs 以 及 外 网 网 云 部 分 ) 。 

(3) 配置 L2TP 十 IPSec VPN 或 者 Easy VPN ,使 PC 一 PC, 可 以 通过 L2TP 十 IPSec 
隧道 或 者 Easy VPN 隧道 访问 企业 内 部 网 络 。 其 中 L2TP 中 PPP 认证 方式 采用 CHAP， 
用 户 名 和 密码 均 分 别 是 network 和 123456; 为 远程 用 户 分 配 的 IP 地 址 段 分 别 为 
10. x. 1. 128/25 、10. x. 2. 128/25、10. x. 3. 128/25 和 10. x. 4. 128/25。IPSec 对 等 体 身份 
认证 使 用 的 预 共 享 密 钥 均 为 abc。 

首先 在 三 层 交换 机 SWA 上 配置 去 往 为 远程 用 户 分 配 的 4 个 网 段 的 路 由 ,确保 远程 
用 户 通过 远程 访问 VPN 连接 可 以 访问 企业 内 部 网 络 。 

H3C 设备 参考 命令 如 下 : 

[SWA]ip route-static 10.x.1.128 25 10.x.1. 

[SWA]ip route-static 10.x.2.128 25 10.x.2. 


[SWA]ip route-static 10.x.3.128 25 10.x.3. 
[SWA]ip route-static 10.x.4.128 25 10.x.4. 


Cisco 设备 参考 命令 如 下 : 


SWA(config)#ip route 10.x.1.128 255.255.255.128 10.x.1.1 

SWA(config) # ip route 10.x.2.128 255.255.255.128 10.x.2.1 

SWA(config) # ip route 10.x.3.128 255.255.255.128 10.x.3.1 

SWA(config) # ip route 10.x.4.128 255.255.255.128 10.x.4.1 

H3C 路 由 器 RTA 上 L2TP 十 IPSec VPN 的 参考 配置 如 图 4-65 一 图 4-67 所 示 。 注 意 
在 配置 之 前 先 将 PC 的 公 网 IP 地 址 修改 为 192. 168. 1.0/24 网 段 的 另外 一 个 地 址 ,然后 
再 登录 路 由 器 RTA 进行 配置 ,以 避免 配置 IPSec 后 无 法 登录 路 由 器 RTA。 

其 中 ,L2TP 配置 中 的 修改 ISP 域 配置 和 创建 新 用 户 的 配置 图 略 。 

将 PC 的 公 网 IP 地 址 修改 回 192. 168. 1. 1 ,然后 在 PC 上 启动 IPSec Services 服务 
并 创建 虚拟 专用 网 络 连 接 , 具 体 的 配置 请 参考 4. 4. 1 小 节 的 相关 内 容 。 

Cisco 路 由 器 RTA 上 Easy VPN 的 配置 参考 命令 如 下 : 


bs ph ph ph 


RTA(config) # ip local pool pool-rvpn 10.x.1.130 10.x.1.254 
RTA(config) # aaa new-model 

RTA(config) # aaa authentication login authen-vpn local 
RTA(config) # aaa authorization network author-vpn local 
RTA(config) # username network password 123456 
RTA(config) # crypto isakmp policy 10 

RTA(config-isakmp) # authentication pre-share 
RTA(config-isakmp) # encryption 3des 

RTA(config-isakmp) # group 2 

RTA(config-isakmp) # hash md5 

RTA(config-isakmp) # exit 

RTA(config) # crypto isakmp client configuration group grp-vpn 
RTA(config-isakmp-group) # key abc 
RTA(config-isakmp-group) # pool pool-rvpn 
RTA(configisakmp-group) # netmask 255.255.255.128 
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IPSec 连 接 名 称 * 字 符 ( 1- 32) 
网 关 信息 
接口 Ethemet0/0 了 
姐 网 模式 人 站 点 到 中 点 个 PC 到 站 点 
网 关 地 址 
对 端 网 关 地 址 主机 名 192 168 1.1 * 字 符 ( 1- 255) 
本 端 网 关 地 址 
认证 
认证 方式 
人 预 共 享 密 钥 总 "字符 (1- 128) 
OE 国 
BID 
对 应 D 类 型 全 IP 地 址 个 网关 名 称 
本 端 D 类 型 人 IP 地 址 C 网 关 名 称 
第 选 器 
第 选 方式 流量 特征 可 
源 地 址 条 配 罕 0.000 55 255 255 255 ， 
目的 地 址 他 配 符 192.168.1.1 000 . 
高 级 
第 一 阶段 
交换 模式 人 主 模式 入 野 覃 模式 
认证 算法 SHA1 司 
加 密 算法 DES 国 
DH Difie-Heliman Group1 司 
SA 的 生存 周期 86400 秒 〈 60- 604800， 缺 省 值 = 86400) 
第 二 阶段 
协议 ESP ”图 
ESP 认 证 算法 MD5 司 
ESP 加 密 算法 3DES 司 
封装 模式 个 障 道 模式 全 传输 模式 
PFS None | 
SA 的 生存 周期 
基于 时 间 的 生存 周期 3600 秒 《 180- 604800, 缺 省 值 = 3600) 
基于 流量 的 生存 周 其 250000 千 字 节 | ( 2560 4294967295,， 缺 省 值 = 1843200) 
DPD 开局 @ 关 闭 
< | 
选择 加 密 卡 
[| 
星 号 (*) 为 必须 填写 项 


图 4-65 路 由 器 RTA 上 IPSec 配置 
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2TP 用 户 组 

L2TP 配 置 

L2TP 用 户 组 名 称 : liztpripsec ”字符 ( 1- 15) 

对 沙 隆 道 名 称 : [| 上 符 (1-30) 

本 请 障 道 名 称 : [上 缚 将 C1-30) 

隐 道 验证 : EF 

隧道 验证 密码 : [和 罕 (1-16) 

PPP 认 证 配置 

PPP 认 证 方式 : CHAP 国 

1SP 域 名 [sen 7 We | ww | wp | 
PPP 地 址 配置 

PPP Server 地 址 尺码 : [10x1129 |/|255.255.255.128 上 

用 户 地 址 : | 新建 | 他 改 | WB | 强制 分 配 地 址 : [其 用 辐 
Eee 


4-66 ”路 由 器 RTA 上 L2TP 配置 


system 国 
1 fo-99) 


[iox1130 


4-67 路 由 器 RTA 上 创建 为 远程 用 户 分 配 地 址 的 地 址 池 


RTA(config-isakmp-group) # exit 

RTA(config) # crypto ipsec transform-set ts-vpn esp-3des esp-md5-hmac 
RTA(cfg-crypto-trans) # exit 

RTA(config) # crypto dynamic-map dmap-vpn 10 
RTA(config-crypto-map) # set transform-set ts-vpn 
RTA(config-crypto-map) # reverse-route 

RTA(config-crypto-map) # exit 

RTA(config) # crypto map map-vpn client configuration address respond 
RTA(config) # crypto map map-vpn client authentication list authen-vpn 
RTA(config) # crypto map map-vpn isakmp authorization list author-vpn 
RTA(config) # crypto map map-vpn 10 ipsec-isakmp dynamic dmap-vpn 
RTA(config) # interface FastEthernet 0/0 

RTA(config-if) # crypto map map-vpn 


Easy VPN 客户 端的 配置 请 参考 4. 4. 2 小 节 的 相关 内 容 。 
路 由 器 RTB、RTC 和 RTD 上 的 配置 与 路 由 器 RTA 上 的 配置 类 似 ,PC; .PC 和 PC 
上 的 配置 和 PC, 类 似 , 在 此 不 再 袭 述 。 
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配置 完成 后 ,使 用 PC, ~~PC, 上 新 建 的 虚拟 专用 网 连接 与 相对 应 的 路 由 器 之 间 建 立 
L2TP 十 IPSec 的 隧道 连接 。 建 立 连接 后 ,在 命令 行 模式 下 使 用 ipconfig 命令 查看 PC 获 
得 的 企业 内 部 网 络 IP 地 址 ; 在 路 由 器 上 查看 已 建立 的 IPSec 隧道 信息 和 L2TP 隧道 
信息 。 

在 PC 一 PC, 上 使 用 ping 命令 连接 PC;, 同 时 在 通信 两 端的 PC 上 分 别 使 用 
Wireshark 软件 捕获 数据 报 文 。 比 较 在 远程 PC 上 捕获 的 数据 报 文中 的 源 IP 地 址 和 目的 
IP 地 址 与 在 PC; 上 捕获 的 数据 报 文中 的 源 IP 地 址 和 目的 IP 地 址 的 区 别 ,H3C 设备 结合 
图 4-58 对 其 进行 分 析 。 

在 PC, 一 PC, 上 使 用 ping 命令 测试 到 达 外 网 网 云 中 的 某 站 点 的 联通 性 ,例如 百度 网 
站 。 可 以 ping 通 ,分 析 其 原因 (注意 : 网 络 综合 实验 室 的 出 口 路 由 器 上 没有 设置 
192. 168. 0. 0/16 网 段 的 地 址 转换 ,也 就 是 说 对 于 源 IP 地 址 属于 192. 168. 0. 0/16 网 段 的 
数据 报 文 无 法 连接 Internet) 。 


5. 实验 报告 
对 请 同 关 地 址 /主机 名 
源 地 址 /通配符 
筛选 器 
目的 地 址 /通配符 
3 ee 封装 模式 基于 流量 的 生存 周期 
PPP Server 地 址 / 掩 码 
为 远程 用 户 分 配 地 址 的 地 开始 地 址 结束 地 址 
址 池 
RTA 上 Easy VPN 的 
配置 
对 端 网 关 地 址 /主机 各 
源 地 址 /通配符 
筛选 器 
目的 地 址 /通配符 
| 封装 模式 基于 流量 的 生存 周期 
PPP Server 地 址 / 掩 码 
为 远程 用 户 分 配 地 址 的 地 开始 地 址 结束 地 址 
址 池 
RTB 上 Easy VPN 的 
配置 
对 端 网 关 地 址 /主机 各 
源 地 址 /通配符 
包 选 器 
| 目的 地 址 /通配符 
ee "PSee [各 要 模式 基于 流量 的 生存 周期 
PPP Server 地 址 / 掩 码 
为 远程 用 户 分 配 地 址 的 地 开始 地 址 结束 地 址 
址 池 
RTC 上 Easy VPN 的 
配置 
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续 表 
ETETTEYTE 
源 地 址 /通配符 
筛选 器 
目的 地 址 /通配符 
0 Se | 雪村 模式 基于 流量 的 生存 局 基 
PPP Server 地 址 / 掩 码 
为 远程 用 户 分 配 地 址 的 地 开始 地 址 结束 地 址 
址 池 
RTD 上 Easy VPN 的 
配置 
源 IP 地 址 目的 IP 地 址 


Wireshark 报 文 分 析 


PC 至 PC, 可 以 ping 
通 Internet 网 络 站 点 的 
原因 


本 章 任务 : 根据 工程 任务 安全 需求 分 析 ,解决 网 络 边界 安全 中 防火 墙 基本 配置 问题 。 
必 备 知识 : (1) 防火 墙 工 作 原理 。 
(2) 防火 墙 网 络 联通 性 配置 。 
(3) 防火 墙 域 间 策略 配置 。 
学 习 目标 : 完成 模拟 公司 网 络 边 界 防火 墙 的 安全 配置 ,防御 来 自 Internet 的 安全 
威胁 。 


5.1 模拟 公司 总 部 网 络 内 外 网 边界 安全 任务 分 析 


模拟 公司 总 部 网 络 安全 通信 和 需求 如 下 : 

(1) 模拟 公司 总 部 Web 服务 器 .邮件 服务 器 需 对 外 提供 24h 服务 。 

(2) 模拟 公司 总 部 网 络 内 主机 可 以 访问 Internet 上 各 种 资源 ,但 非 公司 所 属 机 构 的 
外 部 网 络 主机 ,不 能 主动 连接 模拟 公司 总 部 网 络 内 主机 。 

以 上 安全 通信 需求 虽然 可 以 使 用 配置 了 ACL 的 路 由 器 来 实现 ,但 路 由 器 的 主要 功 
能 是 进行 数据 转发 和 路 由 , 当 网 络 流量 较 大 时 ,难以 保障 网 络 性 能 。 为 解决 网 络 安全 与 性 
能 间 的 矛盾 ,模拟 公司 总 部 网 络 选择 在 网 络 边界 上 配置 硬件 防火 墙 来 完成 网 络 通信 过 滤 
等 安全 功能 。 为 满足 总 部 网 络 的 安全 通信 需求 ,防火 墙 上 需要 进行 如 下 配置 ， 

(1) 基本 网 络 联通 性 配置 。 

(2) 配置 域 间 策略 ,允许 外 部 网 络 访问 内 部 Web .邮件 服务 。 

(3) 配置 域 间 策略 ,允许 外 部 网 络 对 内 部 网 络 已 建立 连接 的 访问 ,但 禁止 所 有 其 他 的 
TCP 连接 。 


5.2 防火 墙 基础 知识 


防火 墙 实际 上 就 是 可 以 在 两 个 或 多 个 网 络 间 实 施 访问 控制 策略 的 一 个 或 一 组 系统 。 
根据 实现 方式 的 区 别 ,防火 墙 可 以 分 为 以 下 3 种 类 型 。 
(1) 基于 服务 器 的 防火 墙 。 基 于 服务 器 的 防火 墙 是 基于 Windows、Unix 等 操作 系统 
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的 防火 墙 应 用 , 即 软件 防火 墙 ,例如 瑞星 防火 墙 .天 网 防火 墙 等 。 软 件 防火 墙 一 般 只 能 保 
护 一 台 主机 ,而 且 软 件 防火 墙 需要 使 用 安装 宿主 机 的 系统 资源 来 实现 安全 防护 ,性 能 相对 
较 低 ,在 处 理 较 大 数据 流量 时 甚至 可 能 拖 垮 宿主 机 。 另 外 软件 防火 墙 无 法 对 宿主 机 操作 
系统 本 身 存在 的 缺陷 进行 安全 防护 。 

(2) 集成 防火 墙 。 集 成 防火 墙 是 指 在 已 存在 的 设备 上 增加 防火 墙 功能 。 比 较 典型 的 
是 在 路 由 器 或 者 三 层 交换 机 上 集成 防火 墙 的 部 分 功能 。 

(3) 基于 设备 的 防火 墙 。 基 于 设备 的 防火 墙 即 专 门 的 硬件 防火 墙 ,硬件 防火 墙 专 为 
实现 网 络 安全 策略 而 设计 ,硬件 以 及 内 置 的 操作 系统 专门 针对 数据 过 滤 进 行 了 优化 ,可 以 
在 尽量 不 影响 网 络 性 能 的 情况 下 提供 网 络 安全 保障 。 

本 章 主要 对 基于 设备 的 防火 墙 进行 介绍 。 

5.2.1 防火 墙 的 安全 区 域 和 安全 级 别 

与 路 由 器 在 默认 情况 下 允许 所 有 的 数据 流量 不 同 ,作为 专门 的 网 络 安全 设备 ,防火 墙 
在 默认 情况 下 以 其 接口 为 边界 将 网 络 划 分 成 若干 个 安全 区 域 ,并 为 其 赋予 不 同 的 安全 级 
别 以 控制 不 同安 全 区 域 之 间 的 访问 。 典 型 的 防火 墙 安 全 区 域 划分 如 图 5-1 所 示 。 


{a> 3 


JInternet 
内 部 区 域 


外 部 区 域 


DMZ 区 域 


5-1 防火 墙 的 安全 区 域 划分 


1. 内 部 区 域 

内 部 区 域 又 称 为 Trust 区 域 ,该 区 域 连接 的 是 企业 内 部 网 络 ,该 区 域 为 受信 任 区 域 ， 
受到 防火 墙 的 保护 。 该 区 域 一般 被 赋予 较 高 的 安全 级 别 , 对 于 Cisco 的 PIX 系列 防火 墙 
而 言 ,为 连接 内 部 区 域 的 inside 接口 设置 最 高 的 安全 级 别 100; 对 于 H3C 的 防火 墙 而 言 ， 
为 Trust 区 域 设 置 的 安全 级 别 为 85。 

注意 : Cisco 防火 墙 的 安全 级 别 是 针对 接口 设置 的 ,而 H3C 防火 墙 的 安全 级 别 是 针 
对 安全 区 域 设置 的 。 

在 传统 上 ,防火 墙 的 安全 级 别 以 及 安全 策略 配置 均 围 绕 接口 进行 , 即 为 具体 的 物理 接 
口 配 置 不 同 的 安全 级 别 ,并 在 接口 之 间 设 置 安全 策略 。 随 着 防火 墙 设备 可 以 提供 的 物理 
接口 数量 增多 ,传统 基于 接口 的 安全 策略 配置 方式 配置 和 维护 的 工作 量 成 倍增 加 ,因此 部 
分 厂商 开始 围绕 安全 区 域 设 置 安全 级 别 和 安全 策略 。 通 过 将 安全 需求 相同 的 接口 划分 到 
同一 个 安全 区 域 中 ,然后 在 安全 区 域 间 设置 安全 策略 ,实现 了 安全 策略 的 分 层 管理 ,简化 
了 安全 策略 维护 的 复杂 度 ,同时 也 实现 了 网 络 业 务 和 安全 业务 的 分 离 。 但 是 在 网 络 复杂 
度 不 高 的 场合 ,一 般 还 是 建议 为 每 一 个 物理 接口 单独 设置 不 同 的 安全 区 域 ,以 保证 域 间 安 
全 策略 配置 的 灵活 性 。 
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2. 外 部 区 域 

外 部 区 域 又 称 为 Untrust 区 域 ,该 区 域 连 接 的 是 Internet 等 外 部 网 络 ,该 区 域 是 不 被 
信任 的 区 域 ,位 于 该 区 域 中 的 主机 访问 其 他 区 域 主机 时 将 受到 严格 的 安全 策略 限制 。 该 
区 域 一 般 被 赋予 最 低 的 安全 级 别 , 对 于 Cisco 的 PIX 系列 防火 墙 而 言 ,为 连接 外 部 区 域 的 
outside 接口 设置 最 低 的 安全 级 别 0; 对 于 H3C 的 防火 墙 而 言 ,为 Untrust 区 域 设置 的 安 
全 级 别 为 5。 


3. DMZ 区 域 

DMZ 区 域 即 非 军事 化 区 域 (Demilitarized Zone) , 它 是 一 个 物理 上 和 逮 辑 上 均 与 内 部 
网 络 和 外 部 网 络 相隔 离 的 区 域 。 一 般 在 该 区 域内 放置 需要 被 外 部 网 络 访问 的 Web 服务 
器 .FTP 服务 器 等 应 用 服务 器 ,位 于 DMZ 区 域内 的 主机 或 服务 器 被 称 为 堡垒 主机 。 该 区 
域 一 般 被 赋予 介 于 内 部 区 域 和 外 部 区 域 之 间 的 安全 级 别 ,对 于 Cisco 的 PIX 系列 防火 墙 
而 言 , 为 连接 DMZ 区 域 的 接口 设置 最 低 的 安全 级 别 0; 对 于 H3C 的 防火 墙 而 言 ,为 DMZ 
区 域 设置 的 安全 级 别 为 50。 

通过 设置 DMZ 区 域 ,将 企业 内 部 对 外 提供 服务 的 服务 器 和 普通 主机 隔离 开 , 在 对 外 
提供 服务 的 同时 有 效 保护 了 企业 内 部 网 络 中 普通 主机 的 安全 。 

H3C 的 防火 墙 除了 Trust、Untrust 和 DMZ 3 个 安全 区 域 以 外 ,还 存在 两 个 比较 特殊 
的 安全 区 域 : Management 区 域 和 Local 区 域 , 这 两 个 区 域 的 安全 级 别 均 为 最 高 值 100。 
其 中 Management 区 域 为 管理 区 域 ,默认 情况 下 ,防火 墙 的 第 一 个 接口 处 于 Management 
区 域 中 ,Management 区 域 专门 用 来 通过 Web 对 防火 墙 进行 配置 管理 ,Management 区 域 
并 不 属于 业务 安全 区 域 。 防 火 墙 上 除 属 于 Management 区 域 接口 外 的 其 他 所 有 接口 均 属 
于 Local 区 域 ,将 某 个 接口 划分 到 某 个 特定 的 区 域 中 只 是 意味 着 该 接口 下 所 连接 的 网 络 
属于 某 个 特定 的 区 域 , 而 接口 本 身 只 属于 Local 区 域 ,不 会 发 生 改 变 。 因 此 ,对 于 H3C 的 
防火 墙 ,其 在 实际 的 网 络 应 用 中 真正 进行 业务 网 络 安全 访问 控制 的 依然 是 Trust、 
Untrust 和 DMZ 3 个 安全 区 域 。H3C 防火 墙 的 安全 区 域 划分 如 图 5-2 所 示 。 


Management 区 域 |E0/0 


Internet 


1 
Ta 区 域 - = 二 一 一 一 一 人 Untrust 区 域 


DMZ 区 域 


图 5-2 H3C 防火 墙 的 安全 区 域 划分 


无 论 是 Cisco 的 防火 墙 还 是 H3C 的 防火 墙 ,其 默认 域 间 安全 策略 相同 , 均 为 高 安全 
级 别 的 区 域 能 够 访问 低 安 全 级 别 的 区 域 . 低 安全 级 别 的 区 域 不 能 访问 高 安全 级 别 的 区 域 。 
但 H3C 防火 墙 上 的 Local 区 域 相对 比较 特殊 ,虽然 Local 区 域 拥有 最 高 的 安全 级 别 100， 


/ 思 
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但 默认 情况 下 Local 区 域 能 够 访问 其 他 区 域 ,其 他 区 域 也 能 够 访问 Local 区 域 ,这 就 可 以 
保证 无 论 主机 处 于 哪 一 个 区 域 均 可 以 保持 与 防火 墙 本 身 的 联通 性 。 
5.2.2 防火 墙 的 应 用 位 置 

防火 墙 的 典型 应 用 位 置 如 图 5-3 所 示 。 


Internet 
企业 内 部 网 络 
企业 内 部 服务 器 
图 5-3 防火 墙 应 用 位 置 1 


从 图 5-3 中 可 以 看 到 ,防火 墙 被 放置 在 接 入 路 由 器 的 后 面 ,由 接 入 路 由 器 实现 内 外 网 
之 间 的 路 由 ,而 防火 墙 主要 用 来 实现 安全 访问 控制 。 之 所 以 采用 这 种 方式 进行 连接 ,主要 
考虑 以 下 两 点 。 

(1) 企业 局 域 网 络 接 入 到 Internet 中 往往 使 用 SDH、ATM 等 广域网 链 路 来 实现 ,路 
由 器 可 以 使 用 相应 的 接口 模块 与 其 连接 ,并 且 实 现 底层 协议 的 转换 ,而 防火 墙 只 能 提供 以 
太 网 接口 ,无 法 实现 异 构 网 络 之 间 的 连接 。 

(2) 路 由 器 的 路 由 功能 相对 更 加 强大 ,可 以 支持 多 种 动态 路 由 选择 协议 ,并 且 路 由 性 
能 更 佳 。 传 统 上 防火 墙 对 动态 路 由 选择 协议 的 支持 相对 较 少 ,并 且 路 由 性 能 相对 比较 差 ， 
如 果 使 用 防火 墙 进行 路 由 很 可 能 成 为 网 络 通信 中 的 瓶颈 。 

但 是 网 络 中 多 串联 一 个 设备 ,就 会 多 一 个 潜在 故障 点 ,也 就 会 多 一 个 影响 网 络 性 能 的 
节点 。 目 前 的 防火 墙 设备 都 能 对 RIPv2 .OSPF 等 动态 路 由 协议 提供 很 好 的 支持 ,因此 在 
使 用 以 太 网 链 路 接 入 到 Internet 的 应 用 场合 中 ,往往 直接 使 用 一 台 防 火 墙 来 连接 
Internet ,而 不 再 使 用 路 由 器 ,具体 如 图 5-4 所 示 。 


Internet 


企业 内 部 服务 器 


图 5-4 防火 墙 应 用 位 置 2 


实际 上 , 随 着 技术 的 不 断 发 展 和 设备 的 不 断 更 新 ,路 由 器 和 防火 墙 之 间 的 功能 定位 也 
越 来 越 模糊 ,一 方面 路 由 器 能 够 支持 的 安全 功能 不 断 增加 ; 另 一 方面 防火 墙 能 够 支持 的 
路 由 功能 也 得 到 不 断 的 增强 。 因 此 在 实际 的 网 络 应 用 中 ,很 多 时 候 单独 使 用 路 由 器 或 者 
单独 使 用 防火 墙 均 可 以 实现 用 户 的 路 由 需求 和 安全 需求 。 但 是 路 由 器 的 主要 功能 依然 是 


第 5 章 防火 墙 


实现 不 同 网 段 之 间 的 路 由 ,而 防火 墙 的 主要 功能 依然 是 进行 网 络 安全 访问 控制 ,其 他 的 功 
能 只 是 其 附属 功能 。 因 此 在 规划 网 络 时 ,具体 是 使 用 路 由 器 还 是 使 用 防火 墙 , 或 是 同时 使 
用 两 个 设备 ,需要 取决 于 网 络 的 路 由 需求 和 安全 需求 。 


5.3 防火墙 的 配置 


5.3.1 H3C 设备 配置 

在 这 里 以 H3C SecPath U200-CA 为 例 介绍 防火 墙 的 配置 。H3C SecPath U200-CA 
并 不 是 一 台 单 纯 的 防火 墙 设备 ,而 是 一 款 统一 威胁 管理 (United Threat Management， 
UTMD 设 备 。 它 在 提供 传统 防火 墙 \VPN 功能 基础 上 ,还 提供 病毒 防护 .URL 过 滤 , 漏 洞 
攻击 防护 ,垃圾 邮件 防护 、P2P/IM 应 用 层 流 量 控制 和 用 户 行为 审计 等 安全 功能 。 由 于 
UTM 设备 综合 了 多 项 安全 功能 并 且 易 于 管理 ,目前 正 逐 渐 代替 传统 的 防火 墙 成 为 主流 
的 信息 安全 产品 。 在 本 章 只 对 H3C SecPath U200-CA 上 的 防火 墙 部 分 功能 进行 配置 
介绍 。 

H3C SecPath U200-CA 支持 命令 行 配置 和 Web 配置 两 种 配置 方式 ,一 般 推 荐 在 命 
令 行 下 进行 诸如 接口 IP 地 址 等 简单 的 配置 以 及 信息 查看 ,故障 诊断 等 ,而 在 Web 下 进行 
具体 的 域 间 策略 等 安全 配置 。 

H3C SecPath U200-CA 有 6 个 千 兆 以 太 口 ,其 中 默认 GigabitEthernet0/0 接口 处 于 
Management 区 域 中 , 其 IP 地 址 为 192. 168. 0. 1/24, 因此 可 以 使 用 IE 通过 
GigabitEthernet0/0 接口 的 IP 地 址 登录 到 U200-CA 上 ,默认 用 户 名 和 密码 均 为 admin。 

防火 墙 有 3 种 不 同 的 工作 模式 : 透明 模式 .路 由 模式 和 混合 模式 。 下 面 分 别 对 这 3 
种 不 同 的 工作 模式 进行 配置 和 介绍 。 


1. 透明 模式 的 配置 

透明 (Transparent) 模 式 又 称 为 桥 模式 ,在 透明 模式 下 ,防火 墙 的 接口 均 工作 在 数据 
链 路 层 ,不 需要 配置 IP 地 址 。 透 明 模 式 适 用 于 在 已 有 的 网 络 中 增加 防火 墙 设备 ,这样 就 
可 以 在 不 改变 原 有 网 络 路 由 的 情况 下 增加 防火 墙 ,实现 对 网 络 的 安全 防护 。 在 透明 模式 
下 ,防火墙 多 个 接口 连接 的 网 络 属于 同一 个 网 段 。 

假设 存在 如 图 5-5 所 示 的 网 络 , 要 求 配置 防火 墙 工 作 在 透明 模式 ,其 中 PC, 处 于 
Trust 区 域 ,PC, 处 于 Untrust 区 域 。 


PC PC 


10.1.1.1/24 10.1.1.2/24 
5-5 透明 模式 配置 


在 默认 情况 下 ,防火 墙 的 所 有 接口 均 工作 在 路 由 模式 下 ,因此 首先 需要 将 接口 
GigabitEthernet0/1 和 GigabitEthernet0/2 配置 为 桥 模式 ,并 将 其 划分 到 同一 个 VLAN 


和 


一 
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中 。 然 后 通过 IE 登录 到 防火 墙 上 ,在 管理 平台 界面 左 侧 的 导航 栏 中 选择 “设备 管理 二 安 
全 域 ”, 进 入 安全 域 管理 界面 ,如 图 5-6 所 示 。 


安全 域 ID 安全 域名 忧 先 级 共享 虚拟 设备 操作 

0 Management 100 no 一 例证 

1 Local 100 no Root 鲁 前 

2 Trust 85 no Root 鲁 和 证 

3 DMZ 50 no Root 命 上 

4 Untrust 5 no Root 命 0 
we | 


图 5-6 安全 域 管理 界面 


单 击 Trust 域 右 侧 * 操 作 ? 字 段 下 的 “编辑 安全 域 ? 图 标 , 进 入 修改 安全 域 界 面 , 将 接口 
GigabitEthernet0/1 加 入 到 该 域 ,如 图 5-7 所 示 。 


一 


区 0) 

No 加 

J | 
到 接口 所 属 VLAN 


F cioabtEmemeto3 |[ 
Tm coabenem [ 
CC coabiEnema [ | 
FT Nu | 
PB coablEnemeol [ko | 


厂 GigabiEmemetor2 。 [4094 


所 输入 的 VLAN 苍 围 应 以 及 "这 接 ， 例 如 ; 3.5-10 
确定 | 取消 
5-7 将 接口 GigabitEthernet0/1 加 入 到 Trust 域 


号 (“) 为 必须 填写 项 


同样 将 接口 GigabitEthernet0/2 加 入 到 Untrust 域 . 需要 注意 的 是 ,将 接口 
GigabitEthernet0/1 和 GigabitEthernet0/2 加 入 到 Trust 域 和 Untrust 域 ,只 是 将 相应 接 
口 下 所 连接 的 网 络 加 入 到 了 Trust 域 和 Untrust 域 , GigabitEthernet0/1 和 
GigabitEthernet0/2 依然 属于 Local 域 。 

配置 完成 后 ,使 用 ping 命令 进行 测试 ,PC, 可 以 ping 通 PC, ,但 PC; 无 法 ping 通 
PC ,这 是 因为 PC, 处 于 低 安全 级 别 的 Untrust 域 中 ,无 法 访问 处 于 高 安全 级 别 的 Trust 
域 中 的 PC, 。 如 果 要 实现 PC* 对 PC 的 访问 ,就 需要 配置 域 间 策略 。 

除了 上 面 例子 中 介绍 的 普通 二 层 转 发 外 ,透明 模式 中 还 包括 Inline 转发 和 跨 VLAN 
二 层 转发 ,具体 的 配置 在 此 不 再 进行 介绍 , 感 兴趣 的 同学 可 以 自行 查阅 相关 资料 。 
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2. 路 由 模式 的 配置 

在 路 由 模式 下 ,防火 墙 的 接口 均 工作 在 网 络 层 ,不 同 的 接口 连接 不 同 的 网 段 ,由 防火 
墙 来 实现 不 同 网 段 之 间 的 路 由 。 路 由 模式 适用 于 在 新 建 网 络 中 作为 网 络 接 入 设备 的 防火 
墙 。 典 型 的 处 于 路 由 模式 下 的 防火 墙 如 图 5-8 所 示 , 其 中 ,GigabitEthernet0/1 连接 网 段 
10. 1. 1. 0/24, 属 于 Trust 域 ,GigabitEthernet0/2 连接 网 段 10. 1. 2. 0/24 ,属于 DMZ 域 ， 
GigabitEthernet0/3 连接 网 段 202. 207. 127. 0/24 ,属于 Untrust 域 。 


10.1.1.W24 202.207.120.1/24 ; 
PC 


PC 2 
10.1.1.2/24 G0/2 202.207.120.2/24 
10.1.2.1/24 


FTP Server HTTP Server 
10.1.2.10/24 10.1.2.20/24 


图 5-8 路 由 模式 配置 


首先 为 GigabitEthernet0/1、GigabitEthernet0/2 和 GigabitEthernet0/3 3 个 接口 配 
置 IP 地 址 ,并 将 其 加 入 到 相应 的 安全 区 域 中 。 配置 完成 后 ,PC 可 以 访问 FTP Server、 
HTTP Server 和 PC,; FTP Server 和 HTTP Server 可 以 访问 PC; ,但 不 能 访问 PC; 
PC; 无 法 访问 FTP Server、.HTTP Server 和 PC。 

(1) 域 间 策略 配置 

在 实际 的 网 络 应 用 中 ,一 般 需 要 允许 外 部 网 络 访问 企业 内 部 的 服务 器 , 即 允 许 
Untrust 域 中 的 主机 访问 DMZ 域 中 的 FTP Server 和 HTTP Server。 为 实现 这 一 目的 ， 
就 需要 配置 相应 的 域 间 策略 。 在 管理 平台 界面 左 侧 的 导航 栏 中 选择 “防火 墙 二 安全 策 
略 二 域 间 策 略 ”, 进 入 域 间 策略 管理 界面 ,如 图 5-9 所 示 。 


厂 ” 源 域 目的 域 规则 ID 源 IP 地 址 目的 IP 地 址 服务 时间 段 过 小 动作 描述 启用 选项 日 志 功 能 源 MAC 地 址 目的 MAC 地 址 操作 


新 建 删除 选中 导入 | 导出 


图 5-9 域 间 策 略 管理 界面 


在 域 间 策略 管理 界面 上 单 击 * 新 建 ? 按 钮 ,进入 新 建 域 间 策略 规则 界面 ,如 图 5-10 
所 示 。 
首先 ,新 建 一 条 规则 允许 Untrust 域 中 的 主机 访问 DMZ 域 中 的 FTP Server。 其 中 
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/ 
EE 新 六 域 同 策略 规则 
涯 吉 [ummst 辐 
目的 城 [ovz 司 
规则 ID p Peo-65534) 
接 述 ]c1- 3 二 符 ) 
源 IP 地 址 
个 新 汗 P 地 址 | bl | IP 地 址 通配符 需要 配置 为 反 捷 码 方式 
他 源 IP 地 址 [eyess El 
目的 IP 地 址 
人 @ 新 建 P 地 址 。 [101210 /oo00 ] -IP 地 址 通配符 需要 配置 为 反 掩 码 方式 
Ci [any_address 辐 S| 
服务 
EE [aa 可 大 
过 沁 动 作 [Pemit 司 
时 间 自 [ 国 
证 局 用 MAC 匹 本 
改 自 Sysloo 日 志 功能 万 局 用 规则 囊 确定 后 继续 添加 下 一 条 规则 网 
属 号 ( 为 必须 填写 项 
确定 | 取消 


图 5-10 新 建 域 间 策略 规则 界面 


参数 的 解释 和 设置 如 下 。 

@ 源 域 : 设置 域 间 策略 规则 的 源 区 域 , 在 此 设置 为 Untrust。 

@ 目的 域 : 设置 域 间 策 略 规则 的 目的 区 域 ,在 此 设置 为 DMZ 。 

@ 规则 ID: 给 该 域 间 策 略 规则 设置 一 个 ID 号 ,在 此 设置 为 最 小 ID 号 0。 

@ 源 IP 地 址 : 设置 域 间 策略 规则 的 源 IP 地 址 ,可 以 选择 新 建 一 个 IP 地 址 资源 或 者 
直接 引用 已 经 存在 的 IP 地 址 资源 。 其 中 新 建 IP 地 址 是 通过 给 出 IP 地 址 和 通配符 掩 码 
来 指定 一 个 地 址 段 ; 而 直接 引用 的 IP 地 址 资源 中 默认 只 存在 any_address, 即 所 有 地 址 ， 
如 果 需 要 指定 某 一 个 或 几 个 地 址 段 ,可 以 在 导航 栏 中 选择 “资源 管理 二 地 址 二 IP 地 址 ”， 
在 相应 的 界面 下 配置 主机 地 址 范围 地 址 或 者 子 网 地 址 ,并 且 可 以 在 “资源 管理 二 地 址 二 
地 址 组 ”界面 下 创建 一 个 IP 地 址 组 ,将 多 个 已 创建 的 地 址 段 加 入 到 一 个 地 址 组 中 。 在 本 
例 中 源 IP 地 址 直接 选择 any_address, 即 允许 所 有 Untrust 域 中 的 主机 。 

@ 目的 全 地 址 ; 设置 域 间 策略 规则 的 目的 IP 地址 ,在 此 设置 为 10.1.2.10/0.0.0.0， 
即 FTP Server 的 IP 地 址 。 

@ 服务 名 称 : 设置 域 间 策 略 规则 中 的 服务 类 型 , 即 该 规则 针对 哪 一 种 服务 进行 安全 
访问 控制 。 防 火 墙 本 身 对 一 些 服 务 进行 了 预定 义 , 可 以 在 下 拉 框 中 选择 需要 的 服务 类 型 。 
如 果 需 要 选择 防火 墙 没有 预定 义 的 服务 ,可 以 在 “资源 管理 二 服务 之 自 定 义 服务 ”界面 下 
单 击 “ 新 建 "按钮 ,通过 指定 相应 的 端口 号 来 新 建 服务 ,并 且 可 以 在 “资源 管理 二 服务 二 服 
务 组 界面 下 创建 一 个 服务 组 ,将 多 个 已 创建 的 服务 加 入 到 一 个 服务 组 中 。 在 本 例 中 , 因 
为 要 允许 Untrust 域 中 的 主机 访问 FTP 服务 ,因此 单 击 服务 名 称 右 侧 的 “多 选 " 按 钮 , 选 
择 其 中 的 ftp .ftp-get 和 ftp-put 3 个 服务 ,如 图 5-11 所 示 。 
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http 
https 
icmp-address-mask 司 


图 5-11 选择 多 种 服务 


@ 过 滤 动 作 : 设置 对 匹配 域 间 策略 规则 的 数据 报 文 进行 的 操作 ,在 此 选择 Permit 。 

时 间 段 : 设置 域 间 策略 规则 生效 的 时 间 段 。 需 要 首先 在 “资源 管理 二 时 间 段 ” 界 
面 下 创建 时 间 段 ,然后 才能 在 这 里 进行 选择 。 在 此 不 对 时 间 段 进行 设置 , 即 该 域 间 策略 规 
则 一 致 处 于 有 效 状态 。 

第 一 条 规则 配置 完成 后 ,继续 配置 第 二 条 规则 ,允许 Untrust 域 中 的 主机 访问 DMZ 
域 中 的 HTTP Server。 两 条 规则 都 配置 完成 后 ,在 域 间 策略 管理 界面 的 显示 如 图 5-12 
所 示 。 


Dam 可 xaz: | 

Lo .3 目的 |P 好 址 服务 时 间 眉 ”过 小 动作 扰 述 ”局 用 远 项 日 老 功能 ” 湖 MAC 地 址 目的 MAC 地 址 名作 
|E onst puz 。 ~ an agdess 1012100000 hp heat 人 pad Per CE CETTES 
三 unust DWZ 1 any address 1012200000 big Pet OR kB 合 $$ 


图 5-12 域 间 策略 配置 情况 


在 PC; 上 使 用 IE 测试 ,应 该 可 以 访问 FTP Server 上 的 FTP 服务 和 HTTP Server 
上 的 HTTP 服务 。 在 “防火 墙 二 安全 策略 二 策略 匹配 统计 ”界面 下 可 以 看 到 数据 报 文 匹 
配 情况 ,如 图 5-13 所 示 。 


涯 域 目的 域 。 允许 包 数 ”拒绝 包 数 开始 时 间 结束 时 间 操作 


Untrust DMZ 20 5 2012/01/10 16:35:16 2012/01/10 17:34:50 [ 洁 委 ] 


图 5-13 策略 匹配 统计 


(2) NAT 配置 

在 实际 的 网 络 应 用 中 ,出 于 节约 IP 地 址 和 保护 内 部 网 络 的 原因 ,有 些 时 候 还 需要 配 
置 网 络 地 址 转换 。 在 5. 2 节 配 置 的 基础 上 配置 NAT, 要 求 内 部 网 络 通过 Easy IP 的 方式 
访问 外 部 网 络 ,而 FTP Server 和 HTTP Server 则 通过 NAT Server 将 FTP 服务 和 
HTTP 服务 映射 到 防火 墙 接 口 GigabitEthernet0/3 的 对 应 端口 上 。 
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Q@ Easy IP 配 置 。 首 先 , 在 防火 墙 上 创建 一 个 ACL 来 匹配 需要 进行 Easy IP 转换 的 
内 部 本 地 地 址 ,在 导航 栏 中 选择 “防火 墙 二 ACL”, 进 入 ACL 管理 界面 , 单 击 “ 新 建 ”按钮 ， 
新 建 一 个 基本 ACL, 如 图 5-14 所 示 。 


2000-2999 基本 访问 控制 列表 。 


访问 控制 列表 ID : 2000 国 3000-3999 高 级 访问 控制 列表 。 
4000-4999 二 层 访问 控制 列表 。 
匹配 规则 : 用 户 配置 


性 号 ( *) 为 必须 填写 项 


5-14 新 建 ACL 


新 建 ACL 后 ,在 ACL 管理 界面 单 击 相 应 ACL 右 侧 “操作 ?字段 下 的 “编辑 ACL” 图 
标 ,进入 相应 ACL 的 编辑 界面 ,在 ACL 编辑 界面 单 击 “ 新 建 "按钮 ,新 建 一 条 允许 源 IP 地 
址 10.1.1.0/24 的 ACL 规则 ,如 图 5-15 一 图 5-17 所 示 。 


图 5-16 ACL 编辑 界面 


ACL=2000 新 建 基本 规则 
叫 规 ID : 厂 (0-65534. 如果 不 输入 规则 D ,系统 格 会 自动 指定 一 个 。) 
换 作 : [tf 辐 a&: [Esl 
口 分 片 报 广 口 记录 昌 志 
区 源 P 地 址 : |10.1.1.0 源 地 址 通配符 : ooz5 | 
veNg 例 : 大国 
_ 确定 | 取消 


5-17 新 建 ACL 规则 


ACL 配置 完成 后 ,在 导航 栏 中 选择 “防火 墙 二 NAT 二 动态 地 址 转换 ”, 进 入 到 动态 地 
址 转换 管理 界面 ,如 图 5-18 所 示 。 

单 击 地 址 转换 关联 下 的 “新 建 ”" 按 钮 ,新 建 一 个 动态 地 址 转换 ,在 防火 墙 接口 
GigabitEthernet0/3 上 应 用 地 址 转换 ,使 ACL 2000 匹配 的 内 部 本 地 地 址 通过 Easy IP 的 
方式 过 载 到 防火 墙 的 GigabitEthernet0/3 接口 上 ,如 图 5-19 所 示 。 
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接口 。 ACL ”地址 油 索引 


ACL: 2000 ( 2000— 3999) 

地 址 转换 方式 : EasyIP 司 

地 址 池 索 引 : | (0-31) 

后 便 能 VRRP 联 关联 的 RRP 姐 :| |(1-255) 
星 号 (*) 为 必须 填写 项 


5-19 新 建 动态 地 址 转换 


@ NAT Server 配置 。 在 导航 栏 中 选择 “防火 墙 二 NAT 二 内 部 服务 器 ”, 进 入 到 内 部 
服务 器 转换 管理 界面 ,如 图 5-20 所 示 。 


内 部 服务 器 转换 


接口 ”VPN 实 例外 部 IP 地 址 ”外 部 端口 内 部 IP 地 址 ”内 部 请 口 “协议 类 型 ”关联 的 VRRP 组 操作 


5-20 ”内 部 服务 器 转换 管理 界面 


单 击 内 部 服务 器 转换 下 的 “新 建 "按钮 ,新 建 一 个 NAT Server, 将 FTP Server 的 “IP 
地 址 10.1.2.10 十 端口 号 21” 映 射 到 防火 墙 接口 GigabitEthernet0/3 的 “IP 地 址 202. 
207. 120. 1 十 端口 号 21” 上 ,如 图 5-21 所 示 。 

需要 注意 的 是 ,防火 墙 与 路 由 器 相同 ,都 不 能 、 也 不 需要 对 FTP 的 数据 端口 20 进行 
NAT Server 的 配置 ,具体 可 参考 3. 13. 2 小 节 NAT Server 与 Easy IP 配置 及 验证 实 训 。 

继续 创建 NAT Server, 将 HTTP Server 的 “IP 地 址 10. 1. 2. 20 十 端口 号 80” 映 射 到 
防火 墙 接口 GigabitEthernet0/3 的 “IP 地 址 202. 207. 120. 1 十 端口 号 80” 上 。 配 置 完 成 
后 ,在 内 部 服务 器 转换 管理 界面 下 可 以 看 到 两 条 NAT Server 转换 配置 ,如 图 5-22 所 示 。 
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接口: GigabitEthemet0 有 3 加 
VPN 实 例 : [ 梧 
协议 类 型 : [srcs) 司 
外 部 IP 地 址 
个 指定 IP 地 址 : | 
人 合用 接口 的 IP 地 址 : 。 [当前 接口 司 
外 部 端口 : @ B1 (0-65535, 0 表示 任意 端口 ) 
ol (1-65535) 
内 部 IP 地 址 : lio1210 上 
H ] 
内 部 满口 : 21 上 (0-65535, 0 表示 任意 端口 ) 
厂 使 能 VRRP 关 联 关联 的 VRRP 组 : (1- 255) 
屋 寻 (") 为 必须 填写 项 
[We | ww | 
5-21 FTP Server 的 NAT Server 配置 
接口 VPN 实 例 。 外 部 iP 地址 。 外 部 端口 、 内 部 IP 地 址 ”内 部 端口 、 协 议 类 型 ”关联 的 VRRP 姐 ”操作 
GigabitEthernet0/3 202.207.120.1 21 101210 他 6(TCP) 铺 [ 
GigabitEthernet0/3 202207.120.1 80 101220 www 6(TCP) 鲁 上 


5-22 NAT Server 记录 


Easy IP 和 NAT Server 都 配置 完成 后 ,在 内 网 主机 PC 上 ping 外 网 主机 PC; ,同时 
在 PC。 上 使 用 Wireshark 捕获 数据 报 文 ,从 捕获 的 ICMP 报 文中 可 以 看 到 与 PC; 通信 的 
IP 地 址 为 202. 207. 120.1, 即 防火 墙 接口 GigabitEthernet0/3 的 IP 地 址 。 在 防火 墙 导航 
栏 中 选择 “防火 墙 二 会 话 管理 二 会 话 列表 ”, 从 会 话 列表 中 也 可 以 看 到 PC, 的 IP 地 址 
10.1.1.2 到 防火 墙 接口 GigabitEthernet0/3 的 IP 地 址 202. 207. 120. 1 的 Easy IP 转换 ， 
如 图 5-23 所 示 。 


厂 ”发放 乔 P 结 让。 发 三 目的 P 寺 让 ”发 天 方 VPN I 谍 方 渣 P 地 址 。 了 方 有 的 地址 IE PN 雹 充 会话 居 才 在 5 中 失 作 


VLANITINLINE 人 W) 
CD 192168024621 1921680180 一 192168.0.180 192168024621 一 TCP TCP.EST 3599 a 
Tm 192168024618 1921680180 一 1921680180 192168024618 一 TcP FINCLOSED ‘24 和 
口 Pat122048] 2022071202512 一 202 207 120.20 |202207120 11027] 一 ICMP ICMP-CLOSED 28 所 四 


图 5-23 Easy IP 转换 会 话 


从 PC: 上 使 用 正 通过 防火 墙 接口 GigabitEthernet0/3 的 IP 地 址 202. 207. 120. 1 分 别 访问 
FTP 服务 和 HTTP 服务 ,可 以 访问 。 从 防火 墙 的 会 话 列 表 中 可 以 看 到 FTP Server 的 “IP 地 
址 10. 1. 2. 10 十 端口 号 21? 到 防火 墙 接口 GigabitEthernet0/3 的 “IP 地 址 202. 207. 120. 1 十 端 
口号 21” 的 转换 和 HTTP Server 的 “IP 地 址 10. 1. 2. 20 十 端口 号 80” 到 防火 墙 接口 
GigabitEthernet0/3 的 “IP 地 址 202. 207. 120. 1 十 端口 号 80” 的 转换 ,如 图 5-24 所 示 。 


3. 混合 模式 的 配置 
混合 模式 是 指 防火 墙 同时 工作 在 透明 模式 和 路 由 模式 下 , 即 防火 墙 的 有 些 接口 工作 在 
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厂 。 发 广 浊 P 地 址 。 发 下 方 有 的 P 续 直 发放 MP 吕方 尖 P 寺 直 ”用 应 方 目的 P 夫 考区 六 VPN 协会 放 人 老话 哲 作 
口 20220712021427 [202207120180] 一 ho122080] 20220712021427 一 TcP FINCLOsED 28 。 忆 生 
014210137 1012255137 一 1012255137 101210137 一 uppjuppoPEN 25 所 四 
口 20220712021430 |202207120121] 一 ho121021] 20220712021430 一 TcP TcPEST ”3592 忆 和 
厂 202207.120 260412 202.99160 6853 一 00000 00000 一 UDP UDP-OPEN 0 a 

口 192168024798 。 1921680180 一 1921680180 192168024798 一 TCP FIN-CLOSED 10 a 
厂 192.168.02.4804 1921680180 一 192168.0.1:80 192168024804 一 TCP TCP-EST 3600 a 


图 5-24 NAT Server 转换 会 话 


数据 链 路 层 , 而 有 些 接口 工作 在 网 络 层 。 混 合 模式 可 以 满足 企业 网 络 多 样 化 的 部 署 要 求 。 

假设 存在 如 图 5-25 所 示 的 网 络 , 其 中 GigabitEthernet0/1 连接 的 网 络 属于 Trust 域 ， 
GigabitEthernet0/2 连接 的 网 络 属于 DMZ 域 , GigabitEthernet0/3 连接 的 网 络 属于 
Untrust 域 。Trust 域 和 DMZ 域 处 于 同一 个 网 段 10. 1. 1. 0/24,GigabitEthernet0/1 和 
GigabitEthernet0/2 为 桥 模式 ,都 属于 VLAN 100, 三 层 虚 接 口 vlan-interface 100 的 IP 地 
址 为 10.1.1.1/24; GigabitEthernet0/3 为 路 由 模式 ,IP 地 址 为 202. 207. 120. 1/24。 


显 jp a 
» 202.207.120.1/24 


PC 2 
10.1.1.2/24 202.207.120.2/24 


FTP Server HTTP Server 
10.1.1.10/24 10.1.1.20/24 


图 5-25 混合 模式 配置 


首先 在 防火 墙 上 创建 VLAN 100 ,将 接口 GigabitEthernet0/1 和 GigabitEthernet0/2 
设置 为 桥 模式 并 划分 到 VLAN 100 中 ,为 三 层 虚 接 口 vlan-interface 100 和 接口 
GigabitEthernet0/3 分 别 配置 相应 的 IP 地 址 。 

将 接口 GigabitEthernet0/1 加 入 到 Trust 域 ,将 接口 GigabitEthernet0/2 加 入 到 
DMZ 域 ,将 接口 GigabitEthernet0/3 加 入 到 Untrust 域 ,将 三 层 虚 接口 vlan-interface 100 
加 入 到 Trust 域 中 。 

注意 : 在 PC, 与 FTP Server/HTTP Server 之 间 互 相 访 问 时 ,数据 流量 的 出 入 安全 
域 均 由 物理 接口 所 在 的 安全 域 决定 ,与 三 层 虚 接口 vlan-interface 100 所 在 的 安全 域 无 
关 。 因 为 PC! 和 FTP Server/HTTP Server 处 于 同一 个 网 段 中 ,接口 GigabitEthernet0/ 
1 和 GigabitEthernet0/2 之 间 工 作 在 透明 模式 ,互相 访问 不 需要 通过 网 关 ( 即 三 层 虚 接口 
vlan-interface 100) 地 址 。 这 一 点 可 以 通过 将 三 层 虚 接口 vlan-interface 100 加 入 到 DMZ 
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域 或 Untrust 域 中 ,然后 在 PC 和 FTP Server/HTTP Server 之 间 互 访 来 进行 测试 。 通 
过 测试 会 发 现 无 论 将 三 层 虚 接 口 vlan-interface 100 加 入 到 哪 一 个 安全 域 中 ,对 测试 结果 
都 没有 任何 影响 , 均 为 PC 可 以 访问 FTP Server/HTTP Server, 但 FTP Server/HTTP 
Server 不 能 访问 PC 。 

在 PC 和 FTP Server/HTTP Server 与 PCs 互相 访问 时 ,PC; 的 出 入 安全 域 由 物理 
接口 GigabitEthernet0/3 所 在 的 安全 域 决定 ,但 PC 和 FTP Server/HTTP Server 的 出 
入 安全 域 由 三 层 虚 接口 vlan-interface 100 所 在 的 安全 域 决 定 。 这 是 因为 PC 和 FTP 
Server/HTTP Server 与 PC; 之 间 的 互相 访问 属于 跨 网 段 的 访问 ,因此 对 于 PC, 和 FTP 
Server/HTTP Server 而 言 , 其 安全 域 将 由 网 关 所 在 的 安全 域 决定 。 这 一 点 可 以 通过 以 下 
几 个 测试 来 进行 验证 。 

(1) 将 三 层 虚 接口 vlan-interface 100 加 入 到 Untrust 域 ,通过 测试 会 发 现 PC 与 
PC;: 之 间 、FTP Server/HTTP Server 与 PC; 之 间 均 可 以 互 访 ,这 是 因为 同属 一 个 安全 区 
域 的 网 络 之 间 可 以 互相 访问 。 但 要 注意 ,FTP Server/HTTP Server 不 能 访问 PC 。 

(2) 将 三 层 虚 接口 vlan-interface 100 加 入 到 Trust 域 , 如 果 需 要 允许 PC; 访问 FTP 
Server/HTTP Server, 则 需要 配置 Untrust 域 到 Trust 域 之 间 的 策略 , 而 不 是 配置 
Untrust 域 到 DMZ 域 之 间 的 策略 。 

(3) 将 三 层 虚 接 口 vlan-interface 100 加 入 到 DMZ 域 ,如 果 需 要 允许 PC 访问 PC , 则 需 
要 配置 Untrust 域 到 DMZ 域 之 间 的 策略 ,而 不 是 配置 Untrust 域 到 Trust 域 之 间 的 策略 。 

注意 : 一 定 要 将 三 层 虚 接口 vlan-interface 100 加 入 到 一 个 安全 域 中 ,否则 从 防火 墙 
本 身 发 起 的 在 vlan-interface 100 网 段 中 的 广播 和 多 播报 文 ( 如 路 由 协议 报 文 等 ) 将 无 法 
发 出 。 在 这 里 建议 将 三 层 虚 接口 vlan-interface 100 加 入 到 Trust 域 中 ,以 保障 处 于 不 同 
安全 区 域 但 在 同一 加 辑 网 段 中 的 设备 均 能 够 接收 到 相应 的 广播 和 多 播报 文 。 

域 间 策略 和 NAT 的 配置 与 5. 2. 2 小 节 类 似 ,在 此 不 再 袭 述 。 

5.3.2 Cisco 设备 配置 

在 Cisco 的 PIX 系列 防火 墙 上 ,安全 级 别针 对 接口 进行 设置 ,防火 墙 的 基本 配置 涉及 
的 命令 如 下 。 

(1) 配置 接口 名 称 


Firewall (config-if) # nameif {inside|outside| dmz|name)} 


Cisco PIX 防火 墙 的 接口 必须 首先 被 命名 ,然后 其 IP 功能 才能 被 启用 。 可 以 将 一 个 
接口 命名 为 inside、outside、dmz 或 任意 一 个 字符 串 ,如 果 将 接口 命名 为 inside, 则 接口 的 
安全 级 别 自动 被 设置 为 100; 如 果 将 接口 命名 为 outside、dmz 或 其 他 字符 串 时 , 则 接口 的 
安全 级 别 自动 被 设置 为 0。 

(2) 配置 接口 的 安全 级 别 


Firewall (config-if) # security-level level 


可 以 根据 需要 修改 系统 自动 设置 的 安全 级 别 ,例如 ,将 DMZ 接口 的 安全 级 别 设置 为 
50。 参 数 level 的 取 值 范围 为 1 一 100。 
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(3) 配置 静态 路 由 
Firewall (config) # route inter face destination-address destination-netmask next-hop-address 


与 路 由 器 上 配置 静态 路 由 的 命令 不 同 ,在 Cisco PIX 防火 墙 上 配置 静态 路 由 ,需要 使 
用 interface 参数 指定 防火 墙 的 送出 接口 。 

(4) 地 址 转换 的 配置 

QO@ 静态 NAT 的 配置 。 


Firewall (config) # static (interfacel, interface2) globaLip local-ip 


其 中 ,参数 interfacel 和 interface2 分 别 是 指 地 址 转换 的 内 部 接口 和 外 部 接口 。 

@ 动态 NAT 和 NAPT 的 配置 。 

Firewall (config) # global (interface) pookid {startaddressendaddress |startaddress|interface} 

Firewall (config) # nat (inter face) pooLid (locaLip netmask |act-number)} 

global 命令 用 来 定义 存放 内 部 全 局 地 址 的 地 址 池 , 该 地 址 池 由 pool-id 唯一 地 标识 ， 
如 果 地 址 池 中 定义 了 一 个 地 址 范围 , 则 转换 为 动态 NAT; 如 果 地 址 池 中 只 定义 了 一 个 地 
址 , 则 转换 为 NAPT; 如 果 地 址 池 定 义 中 直接 给 出 单词 interface, 则 意味 着 将 是 一 个 Easy 
IP 的 转换 。 如 果 需 要 将 内 部 本 地 地 址 通过 NAPT 转换 到 多 个 内 部 全 局 地 址 上 , 则 需要 
配置 多 条 global 命令 。 

在 global 命令 中 小 括号 中 的 参数 interface 是 指 内 部 全 局 地 址 对 应 的 接口 , 即 进 行 地 
址 转换 的 外 部 接口 ; 在 nat 命令 中 小 括号 中 的 参数 interface 是 指 内 部 本 地 地 址 对 应 的 接 
口 , 即 进行 地 址 转换 的 内 部 接口 。 

@ 端口 地 址 重 定向 的 配置 。 


Firewall (config) # static (interfacel, interjface2) {tcp|udp} {globalip |interface) global-port 

locaLip local-port 

在 端口 地 址 重 定向 的 配置 中 ,如 果 给 出 的 全 局 参数 为 globaL-ip ,意味 着 将 重 定向 到 
该 全 地 址 对 应 的 端口 上 ; 如果 给 出 的 全 局 参数 为 单词 interface, 则 意味 着 将 重 定向 到 
interface2 参数 对 应 的 端口 上 。 

对 应 于 H3C 防火 墙 上 域 间 策略 的 配置 ,在 Cisco PIX 防火 墙 上 需要 通过 配置 访问 控 
制 列 表 来 实现 ,其 配置 方法 与 路 由 器 上 的 基本 相同 ,在 此 不 再 进行 介绍 。 


5.4 模拟 公司 总 部 边界 防火 墙 配置 方案 


根据 5. 1 节 的 安全 配置 任务 ,可 参考 以 下 方案 配置 模拟 公司 总 部 防火 墙 ,以 保障 网 络 
通信 安全 。 

(1) 网 络 联通 性 配置 。 如 图 5-26 所 示 ,模拟 公司 总 部 防火 墙 外 部 接口 outside, 使 用 
IP 地 址 为 200. 100. 8. 126/30; 内 部 接口 inside, 使 用 IP 地 址 为 200. 100. 8. 121/30。 防 火 
墙 通过 一 个 边界 路 由 器 连接 到 Internet, 该 路 由 器 内 网 接口 使 用 IP 地 址 为 200. 100. 8. 125， 
连接 Internet 接口 使 用 IP 地 址 为 200. 100. 15. 197。 


从 


/YY 
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(2) 配置 访问 控制 , 仅 允许 外 部 网 络 访问 内 部 Web 服务 器 200. 100. 8. 27/27, 邮 件 服 
务 器 200. 100. 8. 28/27 。 

(3) 根据 防火 墙 默认 访问 规则 ,从 防火 墙 外 网 到 内 网 主动 TCP 连接 是 被 默认 禁止 
的 ,但 从 内 网 到 外 网 的 连接 默认 是 不 受 限 制 的 ,所 以 使 用 防火 墙 默认 模式 即 可 满足 要 求 。 


5.5 小 结 


作为 专门 的 网 络 安全 设备 ,防火墙 为 网 络 提供 了 比 路 由 器 更 为 强大 的 安全 防护 功能 。 
本 章 首先 对 防火 墙 的 基本 概念 ,包括 安全 区 域 . 安 全 级 别 以 及 应 用 位 置 等 进行 了 介绍 ; 然 
后 分 别 对 防火 墙 的 3 种 不 同 的 工作 模式 进行 了 介绍 ; 最 后 简单 介绍 了 Cisco PIX 防火 墙 
的 基本 配置 。 


5.6 习题 


1. 按照 实现 方式 的 区 别 ,防火墙 可 以 分 成 哪 几 种 类 型 ? 

2. 在 H3C 的 防火 墙 上 ,共有 几 个 安全 区 域 ? 其 安全 级 别 分 别 是 多 少 ? 
3. 请 简要 描述 H3C 防火 墙 上 的 域 间 策略 。 

4. 防火 墙 有 哪 几 种 不 同 的 工作 模式 ? 分 别 适用 于 什么 场合 ? 

5. 什么 是 统一 威胁 管理 设备 ? 


5.7 实 训 


5.7.1 防火 墙 路 由 模式 配置 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 3~4 人 。 
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1. 实验 目的 
(1) 掌握 防火 墙 路 由 模式 的 配置 方法 和 域 间 策 略 的 配置 方法 。 
(2) 理解 防火 墙 的 域 间 安 全 访问 控制 的 实现 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 4 台 
(2) H3C SecPath U200-CA: 1 台 

(3) 二 层 交换 机 :2 台 

(4) UTP 电缆 : 7 条 

(5) Console 电缆 : 1 条 

保持 防火 墙 和 交换 机 均 为 出 厂 配 置 。 


3. 实验 内 容 

(1) 配置 防火 墙 接口 。 
(2) 部 署 安 全 区 域 。 

(3) 配置 域 间 策略 。 

(4) 配置 网 络 地 址 转换 。 


4. 实验 指导 
(1) 按照 图 5-27 所 示 的 网 络 拓 扑 结 构 搭 建 网 络 , 完 成 网 络 连 接 。 
FireWall 
"nn 
性 GO 中 Cn 》 
;192.168.1.1/24 区 10.0.x.2/24 
PC 
GO/2 
192.168.1.2/24 1 ed 


PC4 
10.0.x.10/24 


PC> PC 
192.168.2.10/24 192.168.2.20/24 


图 5-27 防火 墙 路 由 模式 配置 实 训 


(2) 按照 图 5-27 所 示 的 防火 墙 的 接口 和 4 台 PC 配置 IP 地址 ,注意 PC, 的 默认 网 关 
需要 配置 为 10. 0. x. 2, 两 台 交 换 机 均 保 持 空 配置 。 

(3) 在 PC, 和 PC: 上 启动 XAMPP 软件 ,在 PC, 上 开启 FileZilla 服务 , 即 开启 FTP 
服务 ; 在 PC; 上 开启 Apache 服务 , 即 开 启 HTTP 服务 。 

(4) 在 防火 墙 上 ,将 接口 GigabitEthernet0/1、GigabitEthernet0/2 和 GigabitEthernet0/3 
分 别 划分 到 Trust .DMZ 和 Untrust 域 中 。 

配置 完成 后 ,在 4 台 PC 之 间 使 用 ping 命令 进行 网 络 联通 性 测试 ,PC, 应 该 可 以 访问 
PC; 、PC; 和 PC,; PC, 和 PC; 可 以 访问 PC, ,但 不 能 访问 PC ; PC 无 法 访问 PC 、PCs 和 


Us 


Pay 
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PC ,与 防火 墙 的 默认 域 间 策 略 相 符合 。 

(5) 配置 域 间 策略 ,要 求 外 部 网 络 主机 可 以 访问 PC, 上 的 FTP 服务 和 PC; 上 的 
HTTP 服务 。 具 体 配 置 方法 参考 5. 2. 2 小 节 的 域 间 策略 配置 部 分 ,配置 完成 后 ,在 防火 
墙 的 域 间 策略 管理 界面 上 查看 域 间 策 略 ,如 图 5-28 所 示 。 


厂 、 通 霹 “目的 域 规 出 D。 源 P 好 址 。。 目的 IP 地 址 服务 。 时间 自 过 活动 作 描 凡 局 用 这 项 日志 功能 天 WACi@ 址 目的 MAC 地 址 。。 操作 
CF Untust DMZ 0 an address 1921682100000 名 和 -aet 各 pu Permit 9 菇 上 未 开 局 ET Ed 
TT Untust DMZ 1 ‘an address 1921682200000 nlp | Pemt ORL #FB | | 生 和 $ 六 昌 


5-28 ” 域 间 策 略 配 置 


在 PC, 上 使 用 IE 进行 测试 ,应 该 可 以 访问 PC。 上 的 FTP 服务 和 PC3 上 的 HTTP 
服务 。 
(6) 在 防火 墙 上 配置 去 往外 部 网 络 的 默认 路 由 。 参 考 命令 如 下 : 


[FireWall]ip route-static 0.0.0.0 0 10.0.x.1 


(7) 配置 网 络 地 址 转换 ,要 求 在 命令 行 下 进行 配置 ,使 内 部 网 络 通过 Easy IP 的 方式 
访问 外 部 网 络 ,而 PC; 和 PCs 则 通过 NAT Server 将 FTP 服务 和 HTTP 服务 映射 到 防 
火 墙 接口 GigabitEthernet0/3 的 对 应 端口 上 。 

参考 命令 如 下 : 

[FireWall]acl number 2000 

[FireWall-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 

[FireWall-acl-basic-2000] quit 

[FireWall] interface GigabitEthernet 0/3 

[FireWall-GigabitEthernet0/3]nat outbound 2000 

[FireWall-GigabitEthernet0/3]nat server protocol tcp global 10.0.x.2 21 inside 192.168.2.10 21 

[FireWall-GigabitEthernet0/3]nat server protocol tcp global 10.0.x.2 80 inside 192.168.2.20 80 

配置 完成 后 ,在 PC, 上 使 用 IE 进行 测试 ,通过 防火 墙 接口 GigabitEthernet0/3 的 IP 
地 址 10. 0. x. 2 分 别 访问 FTP 服务 和 HTTP 服务 ,应 该 可 以 访问 ,从 防火 墙 的 会 话 列表 
中 可 以 看 到 相应 的 NAT Server 转换 。 在 PC, 上 可 以 访问 外 部 网 络 ( 如 百度 网 站 ), 从 防 
火 墙 的 会 话 列表 中 可 以 看 到 相应 的 Easy IP 转换 。 


5. 实验 报告 
Trust 域 DMZ 域 Untrust 域 

默认 域 间 策 略 | 二 

DMZ 域 

Untrust 域 

源 IP 地 址 目的 IP 地 址 服务 
域 间 策略 配置 
Easy IP 配置 
A NAT Server 配置 


考虑 PC 为 什么 可 以 访问 外 部 网 络 
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5.7.2 防火 墙 混合 模式 配置 实 训 


实验 学 时 : 2 学 时 。 

每 组 实验 学 生 人 数 : 3 一 4 人 。 

1. 实验 目的 

(1) 掌握 防火 墙 混 合 模式 的 配置 方法 。 
(2) 理解 三 层 虚 接口 在 安全 域 中 的 作用 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 4 台 
(2) H3C SecPath U200-CA: 1 台 

(3) 二 层 交换 机 : 2 台 

(4) UTP 电缆 : 7 条 

(5) Console 电缆 : 1 条 

保持 防火 墙 和 交换 机 均 为 出 厂 配 置 。 


3. 实验 内 容 

(1) 配置 防火 墙 接口 。 
(2) 部 署 安全 区 域 。 

(3) 配置 域 间 策略 。 

(4) 配置 网 络 地 址 转换 。 


4. 实验 指导 
(1) 按照 图 5-29 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 
FireWall 
"hy 
[1 GO 站 把 外 网 
站 10.0.x.2/24 
PC 
192.168.1.2/24 G02 
PC4 
10.0.x.10/24 
pC; PCs 
192.168.1.10/24 192.168.1.20/24 
图 5-29 防火 墙 混合 模式 配置 实 训 
(2) 按照 图 5-29 所 示 为 防火 墙 的 接口 GigabitEthernet0/3 和 4 台 PC 配置 IP 地 址 ， 


其 中 注意 PC, 的 默认 网 关 需 要 配置 为 10. 0. x. 2; 在 防火 墙 上 创建 VLAN 10, 将 接口 
GigabitEthernet0/1 和 GigabitEthernet0/2 均 设 置 为 桥 模式 ,并 划分 到 VLAN 10 中 ,为 
三 层 虚 接口 vlan-interface 10 配置 IP 地 址 192. 168. 1. 1/24; 两 台 交 换 机 均 保 持 空 配置 。 

(3) 在 PC, 和 PC 上 启动 XAMPP 软件 ,在 PC, 上 开启 FileZilla 服务 , 即 开启 FTP 
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服务 ; 在 PC; 上 开启 Apache 服务 , 即 开 启 HTTP 服务 。 

(4) 在 防火 墙 上 ,将 接口 GigabitEthernet0/1、GigabitEthernet0/2 和 GigabitEthernet 
0/3 分 别 划分 到 Trust .DMZ 和 Untrust 域 中 ; 将 三 层 虚 接口 vlan-interface 10 加 入 到 Trust 
域 中 。 

配置 完成 后 ,在 4 台 PC 之 间 使 用 ping 命令 进行 网 络 联通 性 测试 ,PC 可 以 访问 PC: 、 
PCs 和 PC,; PC 和 PGC 可 以 访问 PC, ,但 不 能 访问 PC ; PC, 无 法 访问 PC 、PCs 和 PC。 

(5) 配置 域 间 策略 ,要 求 外 部 网 络 主机 可 以 访问 PC 上 的 FTP 服务 和 PC; 上 的 
HTTP 服务 。 

在 这 里 有 两 种 配置 方案 : 

Oz 将 三 层 虚 接口 vlan-interface 10 加 入 到 DMZ2 域 中 ,然后 设置 Untrust 域 到 DMZ 
域 的 策略 ,如 图 5-30 所 示 。 


厂 章 研 目的 城 规 WD 浙 P 地 直 目的 P 地 直 服务 。。 时 间 段 过 淹 动 作 ” 摘 过 ”局 用 选项 日志 功能 “再 MAC 地 址 ”目的 MAC 地 直 。 扫 作 
DD Untust pz 0 can address 1921681100000 mp Mpaet poul Permt OR 未 TB 上 
TT unust DMz |1 an address 1921631200000 htp Pei OR FB 命 胃 广电 
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@ 三 层 虚 接口 vlan-interface 10 在 Trust 域 中 保持 不 变 ,设置 Untrust 域 到 Trust 域 
的 策略 ,如 图 5-31 所 示 。 


厂 测 由 目的 域 规则 温 P 地 址 目的 P 地 址 服务 时间 投 ”过 尖 动 作 拉 太 “启用 选项 “日 志 功 能 ” 沽 MAC 地 址 “目的 MAC 地 址 。。 换 作 
局 |Untust Tust 0 。 anraddress 1921681100000 mp fp-ost fp-pdl Permd OR 未 下 全 9 
TT JUntust Trust 1 any agdress 1921681200000 htp Permt OW FB LE 
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注意 : 在 图 5-31 中 设置 的 域 间 策略 ,目的 IP 地 址 为 处 于 DMZ 域 中 的 PC 和 PCs 的 
IP 地 址 ,但 目的 域 为 Trust 域 ,这 是 因为 在 外 部 网 络 访问 PC。 和 PCs 时 ,出 安全 域 将 由 三 
层 庶 接口 vlan-interface 10 所 在 的 安全 域 决定 。 

配置 完成 后 ,在 PC, 上 使 用 IE 进行 测试 ,应 该 可 以 访问 PCs 上 的 FTP 服务 和 PCs 
上 的 HTTP 服务 。 

(6) 在 防火 墙 上 配置 去 往外 部 网 络 的 默认 路 由 。 参 考 命令 如 下 : 


[FireWall]ip route-static 0.0.0.0 0 10.0.x.1 


(7) 配置 网 络 地 址 转换 ,要 求 在 命令 行 下 进行 配置 ,使 内 部 网 络 通过 Easy IP 的 方式 
访问 外 部 网 络 ,而 PC 和 PCs 则 通过 NAT Server 将 FTP 服务 和 HTTP 服务 映射 到 防 
火 墙 接口 GigabitEthernet0/3 的 对 应 端口 上 。 

参考 命令 如 下 : 

[FireWall]acl number 2000 

[FireWall-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 


[FireWall-acl-basic-2000] quit 
[FireWall] interface GigabitEthernet 0/3 


[FireWall-GigabitEthernet0/3]nat outbound 2000 
[FireWall-GigabitEthernet0/3]nat server protocol tcp global 10.0.x.2 21 inside 192.168.1.10 21 
[FireWall-GigabitEthernet0/3] nat server protocol tcp global 10.0.x.2 80 inside 192.168.1.20 80 
配置 完成 后 ,在 PC, 上 使 用 IE 进行 测试 ,通过 防火 墙 接口 GigabitEthernet0/3 的 人 P 
地 址 10. 0. x. 2 分 别 访问 FTP 服务 和 HTTP 服务 ,应 该 可 以 访问 ,从 防火 墙 的 会 话 列表 
中 可 以 看 到 相应 的 NAT Server 转换 。 在 PC 、PCs 和 PC 上 应 该 都 可 以 访问 外 部 网 络 


(如 百度 网 站 ), 从 防火 墙 的 会 话 列表 中 可 以 看 到 相应 的 Easy IP 转换 。 
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5. 实验 报告 
vlan-interface 10 在 DMZ 域 中 源 下 地 址 目的 天 地 址 服务 
时 域 间 策略 配置 
vlan-interface 10 在 Trust 域 和 目的 亚 地 址 服务 
中 时 域 间 策 略 配置 
入 安全 域 出 安全 域 
PC 访问 PC /PCs 
PC 访问 PC 
PCz/PC; 访问 PC 
出 入 安全 域 PC, 访问 PC: /PCs 
考虑 在 什么 时 候 数 
据 流量 的 出 入 安全 
域 由 三 层 虚 接口 所 
在 的 安全 域 决定 
Easy IP 配置 
NAT 配置 


NAT Server 配置 


局 域 网 安全 


本 章 任务 : 根据 工程 任务 安全 需求 分 析 ,解决 局 域 网 中 的 安全 配置 问题 。 
必 备 知识 : (1) AAA 技术 。 
(2) IEEE 802. 1x 技术 。 
(3) 端口 安全 技术 。 
(4) 端口 绑 定 技术 。 
(5) DHCP Snooping 技术 。 
学 习 目 标 : 完成 模拟 公司 总 部 局 域 网 的 网 络 安全 配置 ,防御 局 域 网 内 常见 的 安全 
威胁 。 


6.1 模拟 网 络 局 域 网 安全 任务 分 析 


模拟 公司 总 部 局 域 网 拓扑 如 图 6-1 所 示 。 

用 户 数据 流量 由 分 布 在 各 楼 层 的 二 层 交换 机 接 入 网 络 , 又 经 分 布 在 各 楼 宇 的 三 层 交 
换 机 汇聚 ,最 终 进入 位 于 网 络 中 心 的 核心 交换 机 高 速 转发 。 在 这 样 的 交换 网 络 中 ,可 能 会 
存在 以 下 安全 问题 从 而 影响 网 络 的 正常 运行 。 

(1) 网 络 中 存在 大 量 的 网 络 设备 ,分 散 的 设备 管理 一 方面 增加 了 网 络 管理 员 管 理 的 
复杂 度 ; 另 一 方面 在 网 络 设备 受到 攻击 后 ,本 地 认证 方式 难以 查询 攻击 时 间 、 攻 击 事件 和 
攻击 者 的 信息 ,从 而 难以 进一步 进行 网 络 安全 防护 。 

(2) 由 于 办 公 网 络 的 开放 性 ,很 难 控制 用 户 私 自 向 网 络 中 接 人 网 络 设备 和 主机 ,也 很 
难 防止 恶意 用 户 未 经 授权 接 入 办 公 网 络 。 

(3) 由 于 从 Internet 上 可 以 轻易 获得 各 类 局 域 网 攻击 工具 ,因此 模拟 公司 总 部 网 络 
有 被 恶意 用 户 进行 诸如 MAC 地 址 泛 洪 、MAC 地 址 欺骗 ,ARP 欺骗 .DHCP 欺骗 攻击 的 
安全 风险 。 而 一 些 网 络 病毒 ,例如 ,ARP 病毒 则 更 有 可 能 让 公司 计算 机 在 毫 不 知情 下 发 
动 ARP 攻击 。 

要 解决 以 上 网 络 安 全 问题 ,可 以 在 模拟 公司 总 部 局 域 网 中 实施 以 下 局 域 网 安全 配置 
方案 ,以 保障 网 络 的 安全 。 

(1) 使 用 AAA 技术 对 网 络 中 网 络 设备 的 认证 ,授权 和 计 费 进行 集中 管理 ,通过 查询 


第 6 章 局 域 网 安全 AN 


00 > 0 


2960-0-4-1 C2960-0-4-n 


一 记 

组 织 IP 地址 嘲 
人 so0 Tho ss e2960-0-3-1 C2960-0-3n 组 织 机 构 | ”IP 地 址 
行政 管理 部 门 [200.100.8.128/39 昌 办 公 生产 部 门 200.700.11.0724 


组 织 机 构 IP 地 址 
研发 部 门 |200.100.9.0/24 
市 场 部 门 |200.100.10.0/23 
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图 6-1 模拟 公司 总 部 局 域 网 拓扑 图 


RADIUS 服务 器 上 的 计 费 信息 ,随时 监控 网 络 设备 的 登录 情况 ,及 时 发 现 尝试 性 的 非法 
登录 试探 并 进行 相关 处 理 。 

(2) 使 用 IEEE 802. 1x 技术 对 所 有 接 入 网 络 的 终端 用 户 进 行 身份 的 认证 和 授权 ,以 
防范 非法 用 户 访问 和 合法 用 户 的 越权 访问 。 

(3) 使 用 端口 安全 和 端口 绑 定 技术 对 合法 的 IP 地 址 和 MAC 地 址 与 端口 进行 绑 定 ， 
以 防范 诸如 MAC 地 址 泛 洪 、MAC 地 址 欺骗 .ARP 欺骗 等 网 络 攻 击 。 

(4) 使 用 DHCP Snooping 技术 防范 恶意 用 户 假冒 DHCP 服务 器 或 DHCP 客户 端 对 
网 络 中 的 DHCP 服务 进行 DoS 攻击 。 


6.2 AAA 技术 


AAA(Authentication、Authorization and Accounting, 认 证 ,授权 和 计 费 ) 是 一 个 综 
合 的 安全 架构 , 它 提供 了 一 个 对 认证 ,授权 和 计 费 这 3 种 功能 进行 统一 配置 管理 的 安全 框 
架 。 其 中 认证 功能 用 来 对 访问 网 络 的 用 户 身 份 进行 认证 ,判断 访问 者 是 否 为 合法 用 户 ; 
授权 功能 为 认证 通过 的 不 同 用 户 赋予 不 同 的 权限 ,限制 用 户 可 以 访问 的 资源 和 使 用 的 服 
务 ; 计 费 功能 用 来 记录 用 户 的 操作 和 使 用 的 网 络 资源 ,包括 使 用 的 服务 类 型 .起 始 时 间 和 
数据 流量 等 ,在 计 费 的 同时 对 网 络 安全 情况 进行 监控 。AAA 通常 采用 C/S 结构 ,其 中 客 
户 端 运行 于 被 管理 的 资源 一 侧 , 即 网 络 接 入 服务 器 (Network Access Server, NAS) 上 , 服 
务 器 则 集中 管理 用 户 信息 。 

AAA 支持 本 地 和 远 端 进行 认证 、 授 权 和 计 费 三 种 方式 。 
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本 地 认证 ,授权 和 计 费 将 用 户 信息 包括 本 地 用 户 的 用 户 名 、 密 码 以 及 各 种 属性 配置 在 
网 络 设备 ( 即 NAS) 上 ,相当 于 将 NAS 和 服务 器 集成 在 同一 个 设备 上 。 本 地 认证 、 授 权 和 
计 费 相对 而 言 速度 快 ,运营 成 本 较 低 ,但 由 于 用 户 信息 分 散在 各 个 网 络 设备 上 ,在 网 络 规 
模 较 大 时 会 增加 管理 成 本 。 本 地 认证 ,授权 和 计 费 的 配置 相对 比较 简单 ,具体 配置 请 参考 
《计算 机 网 络 集成 技术 》( 田 庚 林 、 张 少 芳 编 著 ,清华 大 学 出 版 社 出 版 ) 一 书 中 的 第 6 章 网 络 
设备 管理 与 维护 。 

远 端 认证 ,授权 和 计 费 需要 有 专门 的 服务 器 来 集中 管理 用 户 信息 , 在 NAS 和 服务 器 
之 间 通 过 专门 的 协议 进行 认证 、 授 权 和 计 费 。 常 用 的 AAA 协议 有 远程 认证 拨 入 用 户 服 
务 (Remote Authentication Dial-In User Service, RADIUS) 协 议和 终端 访问 控制 器 访问 
控制 系统 (Terminal Access Controller Access Control System,TACACS 十 ) 协 议 。 其 中 
RADIUS 协议 在 传输 层 基于 UDP 协议 实现 ,认证 和 授权 绑 定 在 一 起 ; 而 TACACS 十 协 
议 在 传输 层 基于 TCP 协议 实现 ,并 且 将 认证 和 授权 分 离 , 因 此 TACACS 十 协议 具有 更 高 
的 安全 性 ,但 相对 配置 和 管理 也 比较 复杂 。 目 前 AAA 最 常 使 用 的 是 RADIUS 协议 ,本 
节 只 对 RADIUS 协议 进行 介绍 。 

6.2.1 RADIUS 基础 

RADIUS 协议 是 一 种 分 布 式 、.C/S 结构 的 信息 交互 协议 ,能 保护 网 络 不 受 未 授权 访 
问 干 扰 , 常 被 应 用 在 既 要 求 较 高 的 安全 性 .又 要 求 允 许 远 程 用 户 访问 的 网 络 环境 中 。 
RADIUS 协议 最 初 只 是 针对 拨号 用 户 进行 认证 、 授 权 和 计 费 , 随 着 用 户 接 人 方式 的 多 样 
化 ,RADIUS 协议 被 逐渐 应 用 于 多 种 用 户 接 和 方式 中 ,如 以 太 网 接 人 人、 管理 用 户 登 录 等 。 
它 通过 认证 和 授权 来 提供 接 人 服务 ,通过 计 费 来 收集 .记录 用 户 对 网 络 资源 的 使 用 情况 。 

RADIUS 协议 在 传输 层 基于 UDP 协议 实现 ,其 中 认证 和 授权 使 用 端口 号 1812, 计 费 
端口 号 为 1813。 


1. RADIUS 认证 ,授权 和 计 费 流程 

RADIUS 客户 端 和 RADIUS 服务 器 之 间 通 过 共享 密 钥 来 验证 对 方 身份 的 合法 性 并 
对 用 户 密码 进行 加 密 ,以 增强 安全 性 。RADIUS 的 具体 认证 ,授权 和 计 费 流程 如 图 6-2 
所 示 。 

(1) 用 户 发 起 连接 请 求 , 输 入 用 户 名 和 密码 。 

(2) RADIUS 客户 端 根据 获取 的 用 户 名 和 密码 ,向 RADIUS 服务 器 发 送 认 证 请 求 
(Access-Request) 包 ,其 中 包 中 的 用 户 密码 为 被 共享 密 钥 加 密 后 的 密 文 。 

(3) RADIUS 服务 器 将 接收 到 的 用 户 名 和 密码 与 自己 保存 的 数据 库 信息 进行 对 比 ， 
如 果 数 据 库 中 存在 相应 的 用 户 名 和 密码 , 则 认证 成 功 ,RADIUS 服务 器 向 RADIUS 客户 
端 发 送 包含 用 户 授权 信息 的 认证 接受 (Access-Accept) 包 ; 如 果 认 证 失败 , 则 返回 认证 拒 
绝 (Access-Reject) 包 。 

(4) RADIUS 客户 端 根 据 接收 到 的 认证 结果 接 入 / 挂 断 用 户 。 如 果 允 许 用 户 接 入 , 则 
RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 开 始 请 求 (Accounting-Request) 包 。 

(5) RADIUS 服务 器 返回 计 费 开始 啊 应 (Accounting-Response) 包 ,并 开始 计 费 。 

(6) RADIUS 客户 端 为 用 户 提供 相应 的 服务 。 


(7) 月 


(Accounti 
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RADIUS 客户 端 RADIUS 服务 器 


里 


1 1 
1 _《D) 用 户 输入 用 户 名 /密码 1 


(6) 用 户 获得 服务 


(2) 认证 请 求 包 


(4) 计 费 开始 请 求 包 


| 

上。 G) 认证 接受 /拒绝 包 
| 
1 

1 

i 


(7) 计 费 结束 请 求 包 
(8) 计 费 结束 请 求 响应 包 


1 
(9) 通知 访问 结束 1 
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ng-Request) 包 。 


(5) 计 费 开始 请 求 响应 包 


日 户 请 求 断 开 连 接 , RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 结束 请 求 


(8) RADIUS 服务 器 返回 计 费 结束 响应 (Accounting-Response) 包 ,并 停止 计 费 。 


(9) 月 


日 户 访问 资源 结束 。 


其 中 , 计 费 开始 请 求 包 和 计 费 结束 请 求 包 均 为 Accounting-Request, 其 区 别 在 于 
Acct-Status-Type 属性 的 取 值 , 计 费 开始 请 求 包 中 Acct-Status-Type 的 取 值 为 Start, 而 
计 费 结束 请 求 包 中 Acct-Status-Type 的 取 值 为 Stop。 计 费 开始 响应 包 和 计 费 结束 响应 
包 则 为 相应 请 求 包 的 响应 。 


2. RADIUS 协议 报 文 结构 


RADIUS 协议 的 报 文 结构 如 图 6-3 所 示 。 
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Authenticator 
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图 6-3 RADIUS 协议 报 文 结构 
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RADIUS 协议 报 文中 的 各 项 参数 说 明 如 下 。 
(1) Code: 用 于 标识 RADIUS 报 文 的 类 型 ,长度 为 1 个 字 节 。RADIUS 报 文 的 类 型 
如 表 6-1 所 示 。 


表 6-1 RADIUS 报 文 类 型 


报 文 类 型 报 文 说 明 
人 Access-Request 认证 请 求 包 ,由 RADIUS 客户 端 发 送 往 RADIUS 服务 器 
Rass bt 认证 接受 包 , 由 RADIUS 服务 器 发 送 往 RADIUS 客户 端 ,表示 
认证 通过 
3 Ness et 认证 拒绝 包 , 由 RADIUS 服务 器 发 送 往 RADIUS 客户 端 ,表示 
认证 失败 


计 费 请 求 包 ,由 RADIUS 客户 端 发 送 往 RADIUS 服务 器 ,使 用 
Acct-Status-Type 属性 值 来 区 分 计 费 开始 请 求 和 计 费 结束 请 求 
计 费 响应 包 , 由 RADIUS 服务 器 发 送 往 RADIUS 客户 端 ,通知 
客户 端 已 收 到 计 费 请 求 包 并 已 经 正确 记录 计 费 信息 


4 Accounting-Request 


5 Accounting-Response 


(2) Identifier: 用 于 匹配 请 求 包 和 响应 包 , 以 及 检测 一 段 时 间 内 重 发 的 请 求 包 , 随 着 
Attribute 的 改变 以 及 接收 到 的 有 效 响 应 包 的 变化 而 不 断 变化 ,而 在 重 传 时 保持 不 变 。 长 
度 为 1 个 字 节 。 

(3) Length: 标识 整个 包 的 长 度 。 超 过 长 度 域 的 字 节 被 视 为 填充 ,在 接收 时 会 被 忽 
略 ;而 如 果 接 收 到 的 数据 包 短 于 Length 标识 的 长 度 , 则 会 被 丢弃 。 长 度 为 2 个 字 节 。 

(4) Authenticator: 用 于 验证 RADIUS 服务 器 的 应 答 报 文 , 以 及 对 用 户 密 码 的 加 密 
计算 。 长 度 为 16 个 字 节 。 

(5) Attribute: 携带 专门 的 认证 ,授权 和 计 费 信息 ,提供 请 求 和 响应 报 文 的 配置 细 
节 。 长 度 不 定 。 该 字段 包含 多 个 RADIUS 属性 ,并 采用 TLV(Type、Length、Value) 三 元 
组 的 形式 对 属性 进行 描述 。 

@ 类 型 (Type) : 1 个 字 节 , 取 值 为 1~~255, 用 于 标识 属性 的 类 型 。 

@ 长 度 (Length): 1 个 字 节 ,标识 此 属性 的 长 度 ,包括 类 型 字段 ,长 度 字段 和 属性 值 
字段 。 
@ 属性 值 (Value) : 具体 属性 的 取 值 ,其 格式 和 内 容 由 类 型 域 和 长 度 域 决定 ,最 大 长 
度 为 253 字 节 。 


3. RADIUS 常见 属性 
RADIUS 协议 的 标准 属性 有 一 百 余 个 ,常用 到 的 一 些 属性 如 表 6-2 所 示 。 


表 6-2 RADIUS 常用 属性 


属性 编码 属性 名 称 属性 描述 
1 User-Name 需要 进行 认证 的 用 户 名 称 
多 User-Password 需要 进行 PAP 方式 认证 的 用 户 密码 
名 CHAP-Password 需要 进行 CHAP 方式 认证 的 用 户 密 码 摘要 


属性 编码 属性 名 称 
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续 表 
属性 描述 


4 NAS-IP-Address 


RADIUS 客户 端的 IP 地 址 ,默认 情况 下 为 客户 端 发 送 RADIUS 
报 文 的 接口 IP 地 址 ,建议 配置 固定 的 NAS-IP-Address, 以 避免 因 
为 发 送 接口 的 变化 而 导致 NAS-IP 的 变化 


5 NAS-Port 


用 户 接 人 NAS 的 物理 端口 号 ,由 “楼 位 号 十 端口 号 十 VLAN 号 ” 
构成 


6 Service-Type 用 户 申请 认证 的 业务 类 型 

4 Framed-Protocol 定 为 1, 表 示 PPP 类 型 

8 Framed-IP-Address | 用 户 的 IP 地 址 

14 Login-IP-Host Login 登录 用 户 的 IP 地 址 ,但 实际 显示 为 NAS 的 IP 地 址 
3 Login-Service 用 户 登录 设备 时 采用 的 服务 类 型 


26 Vendor-Specific 


厂商 自 定义 的 私有 属性 ,一 个 报 文中 可 以 有 一 个 或 多 个 私有 属 
性 ,每 个 私有 属性 中 可 以 有 一 个 或 多 个 子 属性 。 例 如 ,H3C 的 管 
理 员 账号 的 管理 级 别 即 由 相关 的 私有 属性 来 实现 


31 Calling-Station-ID 


NAS 用 于 向 RADIUS 服务 器 告知 标识 用 户 的 号 码 ,在 LAN- 
Access 业务 中 ,该 字段 填充 的 是 用 户 的 MAC 地 址 ; 在 Login 中 ， 
该 字段 取 值 为 全 0 


32 NAS-Identifier 


NAS 的 主机 名 


40 Acct-Status-Type 


标识 计 费 请 求 报 文 的 类 型 是 开始 计 费 ,结束 计 费 还 是 实时 计 费 


44 Acct-Session-Id 


计 费 的 连接 号 ,对 于 同一 个 连接 的 开始 计 费 、 实 时 计 费 和 结束 计 
费 报 文 ,其 Acct-Session-Id 必须 相同 


45 Acct-Authentic 


用 户 的 认证 模式 ,1 表示 RADIUS 认证 ,2 表示 本 地 认证 


55 Event-Timestamp 


生成 计 费 报 文 的 时 间 , 以 秒 为 单位 ,表示 从 1970 年 1 月 1 日 零点 
零 分 零 秒 以 来 的 绝对 秒 数 


60 CHAP-Challenge 


CHAP 认证 的 质询 字 , 只 用 于 CHAP 认证 


61 NAS-Port-Type 


6.2.2 RADIUS 的 配置 


NAS 的 端口 类 型 


RADIUS 的 配置 分 为 RADIUS 客户 端的 配置 和 RADIUS 服务 器 端的 配置 两 部 分 ， 


下 面 分 别 对 其 进行 介绍 。 


1. RADIUS 客户 端的 配置 
RADIUS 的 客户 端 即 作为 


NAS 的 网 络 设 备 。 在 H3C 网 络 设备 上 配置 RADIUS 分 


为 配置 RADIUS 方案 和 在 AAA 域 中 引用 RADIUS 方案 两 个 步骤 。 


(1) 配置 RADIUS 方案 。 


配置 RADIUS 方案 涉及 的 命令 如 下 。 


J@ 创建 RADIUS 方案 。 


[H3C]radius scheme radius-scheme-name 


一 个 RADIUS 方案 可 以 同时 被 多 个 AAA 域 引用 。 


入、 


一 
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@ 配置 主 认证 /授权 服务 器 和 备份 认证 /授权 服务 器 。 


[H3C-radius-login] primary authentication ipraddress [port-number] 
[H3C-radius-login] secondary authentication ip-address [port-number] 


其 中 ,端口 号 默认 为 1812。 

@ 配置 主 计 费 服务 器 和 备份 计 费 服务 器 。 
[H3C-radius-login] primary accounting ipraddress [portnumber] 
[H3C-radius-login] secondary accounting ipraddress [port-number] 
其 中 ,端口 号 默认 为 1813。 

@ 配置 网 络 设备 的 NAS-IP。 


[H3C-radius-login]nas-ip ip-address 


为 保证 认证 的 有 效 性 和 安全 性 ,RADIUS 服务 器 需要 验证 NAS 的 IP 地 址 ,只 有 在 
RADIUS 服务 器 的 NAS-IP 地 址 列表 范围 内 的 认证 请 求 才 会 被 处 理 , 否则 将 不 予 处 理 。 
默认 情况 下 网 络 设 备 会 以 发 送 RADIUS 报 文 的 接口 IP 地 址 作为 NAS-IP, 但 在 多 接口 设 
备 上 很 可 能 会 因为 发 送 接口 的 变化 而 导致 NAS-IP 的 变化 ,从 而 最 终 导致 认证 的 失败 。 
因此 建议 配置 确定 的 NAS-IP, 以 保证 认证 的 正常 进行 。 

@ 配置 RADIUS 报 文 的 共享 密 钥 。 


[H3C-radius-login] key authentication string 

[H3C-radius-login] key accounting string 

共享 密 钥 有 两 个 功能 ,一 方面 RADIUS 服务 器 和 RADIUS 客户 端 使 用 共享 密 钥 来 
验证 对 方 身份 的 合法 性 ; 另 一 方面 共享 密 钥 对 RADIUS 报 文中 传送 的 用 户 密码 进行 加 
密 保护 。 只 有 在 RADIUS 服务 器 和 RADIUS 客户 端 配置 的 共享 密 钥 相 同 的 情况 下 , 双 
方才 能 彼此 接收 对 方 发 来 的 报 文 并 作出 相应 。 

@ 配置 用 户 名 的 格式 。 


[H3C-radius-login] user-name-format {with-domain| without-domain} 


由 于 在 NAS 上 可 能 存在 多 个 AAA 域 ,而 每 一 个 AAA 域 可 能 会 引用 不 同 的 
RADIUS 方案 ,因此 用 户 发 送 给 NAS 的 用 户 名 往往 需要 携带 有 AAA 域名 信息 ,格式 为 
“user-name@aaa-name”, 其 中 aaa-name 即 为 用 户 所 在 AAA 域 的 域名 。 在 NAS 接收 到 
用 户 信息 后 ,会 根据 用 户 名 中 的 aaa-name 信息 判断 用 户 归属 于 哪 一 个 AAA 域 ,然后 使 
用 该 AAA 域 引用 的 RADIUS 方案 到 相应 的 RADIUS 服务 器 上 进行 认证 。 

在 默认 情况 下 ,NAS 发 送 给 RADIUS 服务 器 的 用 户 名 携带 有 AAA 域名 信息 ,但 部 
分 早期 的 RADIUS 服务 器 不 能 识别 带 有 AAA 域名 的 用 户 名 ,此 时 就 需要 使 用 user- 
name-format without-domain 命令 指定 NAS 在 给 RADIUS 服务 器 发 送 的 用 户 名 中 去 除 
掉 AAA 域名 。 

需要 注意 的 是 ,如 果 在 RADIUS 方案 中 配置 了 不 允许 用 户 名 携带 AAA 域名 , 则 该 
RADIUS 方案 只 能 被 一 个 AAA 域 引 用 。 如 果 多 个 AAA 域 引用 该 RADIUS 方案 , 则 会 
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出 现 虽 然 实 际 用 户 不 同 (在 不 同 的 AAA 域 中 ) 但 RADIUS 服务 器 认为 用 户 相同 (不 携带 
AAA 域名 的 用 户 名 相同 ) 的 错误 。 
@ 配置 定时 器 。 


[H3C-radius-login]timer response-timeout seconds 

[H3C-radius-login | timer quiet minutes 

[H3C-radius-login | timer realtime-accounting minutes 

3 个 定时 器 从 上 到 下 分 别 是 服务 器 响应 超时 定时 器 、 主 服务 器 恢复 激活 状态 定时 器 
和 实时 计 费 间隔 定时 器 。 

服务 器 响应 超时 定时 器 : 用 来 控制 RADIUS 报 文 的 超时 重 传 ,如 果 在 RADIUS 请 求 
报 文 发 送出 去 的 时 间 已 经 到 达 服 务 器 响应 超时 定时 器 规定 的 时 间 , 但 还 没有 收 到 来 自 
RADIUS 服务 器 的 响应 , 则 NAS 就 会 重 传 RADIUS 请 求 报 文 ,以 保证 用 户 确实 能 够 得 
到 RADIUS 服务 。 服 务 器 响应 超时 定时 器 默认 值 为 3s。 

主 服务 器 恢复 激活 状态 定时 器 : 当主 RADIUS 服务 器 不 可 达 时 ,状态 变 为 block， 
NAS 会 与 备份 RADIUS 服务 器 (如 果 配 置 了 备份 RADIUS 服务 器 ) 进 行 交 互 , 并 开启 定 
时 器 。 在 定时 器 时 间 到 达 主 服务 器 恢复 激活 状态 定时 器 规定 的 时 间 后 , 当 有 RADIUS 请 
求 时 ,NAS 会 尝试 与 主 RADIUS 服务 器 通信 ,如 果 主 RADIUS 服务 器 恢复 正常 , 则 NAS 
会 恢复 与 其 通信 ,将 其 状态 恢复 为 active, 并 中 断 与 备份 RADIUS 服务 器 的 通信 。 主 服务 
器 恢复 激活 状态 定时 器 默认 值 为 5min。 

实时 计 费 间隔 定时 器 : 同 于 对 用 户 进行 实时 计 费 ,每 间隔 一 个 实时 计 费 间隔 定时 器 
规定 的 时 间 ,NAS 就 会 向 RADIUS 服务 器 发 送 一 次 在 线 用 户 的 计 费 信息 。 实 时 计 费 间 
隔 定时 器 默认 值 为 12min。 

@ 配置 RADIUS 报 文 超时 重 传 次 数 。 


[H3C-radius-login | retry retry-times 


如 果 重 传 次 数 达 到 retry 命令 规定 的 值 ,而 NAS 仍 未 收 到 来 自 RADIUS 服务 器 的 响 
应 , 则 本 次 RADIUS 认证 失败 。 默 认 超时 重 传 次 数 为 3 次 。 
@ 配置 RADIUS 服务 器 类 型 。 


[H3C-radius-login| server-type {extended|standard} 


告诉 NAS 使 用 的 RADIUS 服务 器 是 否 支 持 私有 属性 的 扩展 ,如 果 RADIUS 服务 器 
支持 私有 属性 , 则 将 RADIUS 服务 器 类 型 配置 为 extended; 如 果 RADIUS 服务 器 仅 支持 
标准 属性 , 则 只 能 将 RADIUS 服务 器 类 型 配置 为 standard。 默 认 情 况 下 RADIUS 服务 
器 的 类 型 为 standard。 

(2) 在 AAA 域 中 引用 RADIUS 方案 。 

配置 了 RADIUS 方案 后 ,需要 在 相应 的 AAA 域 中 引用 才能 生效 。 在 AAA 域 中 引 
用 RADIUS 方案 涉及 的 命令 如 下 。 

@ 创建 AAA 域 。 


[H3C] domain domairname 
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在 大 规模 的 网 络 应 用 中 ,不 同 ISP 的 用 户 有 可 能 接 和 人 到 同一 台 设 备 。 而 各 ISP 用 户 的 
用 户 属性 (例如 用 户 名 及 密码 构成 .服务 类 型 /权限 等 ) 有 可 能 不 相同 ,因此 有 必要 通过 设置 
域 来 把 它们 区 分 开 , 并 为 每 个 域 单 独 配 置 相应 的 RADIUS 方案 等 属性 集 。 各 个 域 的 控制 相 
互 独立 , 互 不 干扰 。 实 际 上 ,一 个 AAA 域 就 是 一 个 由 属于 同一 个 ISP 用 户 构 成 的 用 户 群 。 

系统 默认 存在 一 个 名 为 system 的 AAA 域 。 

@ 配置 域 的 认证 方案 。 

[H3C-isp-teach]authentication {default|lan-access|login|portal| ppp| ssl-vpn| super | voip| wapi} 

{radius-scheme radius-scheme-name [local] |local| none} 

lan-access、login、portal、ppp、ssl-vpn、super、voip 和 wapi 均 为 用 户 接 人 方式 ,AAA 
可 以 对 不 同 的 接 人 方式 和 服务 类 型 配置 不 同 的 认证 方案 。 不 同型 号 的 设备 对 用 户 接 人 方 
式 的 支持 情况 也 有 所 不 同 , 上 面 命令 中 给 出 的 是 H3C MSR 20-40 路 由 器 支持 的 接 人 方 
式 ,在 H3C S3610 交换 机 中 只 支持 lan-access login 和 super 3 种 接 人 方式 ,而 在 H3C 
E126A 交换 机 上 则 不 能 配置 接 人 方式 ,在 authentication 后 面 直接 配置 radius-scheme。 

如 果 使 用 default 参数 , 则 配置 的 认证 方案 不 区 分 用 户 类 型 , 即 对 所 有 类 型 的 用 户 都 
起 作用 ,但 此 配置 的 优先 级 低 于 具体 接 人 方式 的 配置 。 

如 果 配 置 了 radius-scheme radius-scheme-name local, 则 在 RADIUS 服务 器 没有 响 
应 时 将 使 用 本 地 认证 。 如 果 local 或 者 none 作为 第 一 认证 方案 , 则 只 能 采用 本 地 认证 或 
者 不 进行 认证 ,不 能 同时 再 采用 RADIUS 认证 。 

需要 注意 的 是 ,对 于 AAA 而 言 ,认证 ,授权 和 计 费 是 3 个 完全 独立 的 业务 流程 ,只 是 
在 AAA 框架 中 使 用 的 RADIUS 协议 将 认证 和 授权 绑 定 在 了 一 起 。 因 此 当 RADIUS 被 
配置 选择 为 认证 方案 时 ,AAA 只 接受 RADIUS 服务 器 的 认证 结果 ,RADIUS 的 授权 信 
息 虽 然 在 认证 接受 包 中 被 携带 ,但 在 认证 回应 的 处 理 流程 中 不 会 被 处 理 。 

系统 默认 的 域 认 证 方案 为 Local。 

@ 配置 域 的 授权 方案 。 


[H3C-isp-teach]authorization { default | lan-access | login | portal | ppp| ssl-vpn | voip | wapi} {radius- 

scheme radius-scheme-name [local] |local| none} 

参数 含义 与 配置 域 的 认证 方案 命令 中 的 参数 含义 基本 相同 。 

需要 注意 的 是 ,对 于 RADIUS 而 言 由 于 授权 信息 被 包含 在 认证 接受 包 中 ,因此 必须 
将 认证 和 授权 的 RADIUS 方案 配置 相同 ,授权 才 起 作用 ,和 否则 系统 会 给 出 错误 提示 。 但 
在 有 些 设备 中 ,例如 ,H3C E126A 中 则 不 能 配置 引用 RADIUS 方案 的 授权 ,只 需要 配置 
认证 方案 即 可 。 

系统 默认 的 域 授权 方案 为 Local。 

@ 配置 域 的 计 费 方案 。 


[H3C-isp-teach] accounting {default | lan-access | login | portal | ppp | ssl-vpn | voip | wapi} {radius- 
scheme radius-scheme-name [local] |local| none} 


参数 含义 与 配置 域 的 认证 方案 命令 中 的 参数 含义 基本 相同 。 
系统 默认 的 域 计 费 方案 为 Local。 
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@ 配置 计 费 可 选 。 
[H3C-isp-teach]accounting optional 


在 对 用 户 实施 计 费 时 ,如 果 发 现 没 有 可 用 的 计 费 服务 器 或 与 计 费 服务 器 通信 失败 , 则 
用 户 连接 将 被 挂 断 ; 但 如 果 配 置 了 accounting optional 命令 , 则 即使 计 费 失败 ,用 户 依 然 
可 以 继续 使 用 网 络 资源 。 

@ 配置 默认 域 。 


[H3C] domain default enable domain-name 


NAS 需要 根据 用 户 名 中 携带 的 域名 信息 来 判断 用 户 所 在 的 AAA 域 ,进而 使 用 该 
AAA 域 引用 的 RADIUS 方案 到 相应 的 RADIUS 服务 器 上 进行 认证 。 但 如 果 用 户 发 送 
的 用 户 名 中 不 包含 域名 信息 , 则 系统 将 使 用 默认 的 域 进 行 认证 。 

默认 情况 下 ,系统 默认 域 是 system。 

在 Cisco 设备 上 配置 RADIUS 涉及 的 命令 如 下 。 

(1) 配置 RADIUS 服务 器 。 


Router(config) # radius-server host ipraddress [auth-port port-number] [acct-port port-number] 


其 中 ,参数 ip-address 是 RADIUS 服务 器 的 IP 地 址 ,参数 auth-port 和 acct-port 分 
别 用 来 指定 认证 和 授权 、 计 费 使 用 的 UDP 端口 号 。 
(2) 配置 RADIUS 报 文 的 共享 密 钥 。 


Router(config) # radius-server key key-string 
(3) 配置 RADIUS 服务 器 的 响应 超时 时 间 。 
Router(config) # radius-server timeout seconds 


Cisco 设备 上 RADIUS 服务 器 的 默认 响应 超时 时 间 为 5s。 
(4) 配置 RADIUS 报 文 超时 重 传 次 数 。 


Router(config) # radius-server retransmit retry-times 


Cisco 设备 上 默认 的 超时 重 传 次 数 与 H3C 设备 上 相同 , 均 为 3 次 。 
(5) 开启 AAA 功能 。 


Router(Cconfig) # aaa new-model 


在 Cisco 设备 上 ,AAA 安全 特性 默认 处 于 关闭 状态 ,在 配置 之 前 ,首先 要 开启 该 功能 。 
(6) 配置 AAA 的 认证 方法 。 


Router(config) # aaa authentication {login| ppp|enable} {default|listname} method] [method2...] 


其 中 ,参数 listname 为 方法 列表 名 称 ,在 指定 AAA 的 认证 方法 时 ,可 以 使 用 default 
参数 指定 某 一 个 或 几 个 认证 方法 为 默认 的 认证 方法 ; 也 可 以 使 用 List-name 参数 为 某 一 
个 或 几 个 认证 方法 指定 一 个 唯一 的 方法 列表 名 称 。 其 中 默认 的 认证 方法 会 被 应 用 在 所 有 
线路 上 ,而 如 果 某 一 条 线路 需要 使 用 特定 方法 列表 定义 的 认证 方法 , 则 需要 在 线路 配置 模 
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pa 式 下 使 用 login authentication list-name 命令 来 指定 。 
参数 method 为 具体 的 认证 方法 ,其 中 login 认证 可 用 的 认证 方法 如 表 6-3 所 示 。 


认证 方法 


表 6-3 Cisco 设备 login 可 用 的 认证 方法 
描 述 


enable 


使 用 enable 口令 进行 认证 


line 


使 用 用 户 正在 试图 访问 的 线路 上 的 password 进行 认证 


local 


使 用 本 地 数据 库 中 的 用 户 名 和 口令 进行 认证 (不 区 分 大 小 写 ) 


local-case 


使 用 本 地 数据 库 中 的 用 户 名 和 口令 进行 认证 (区 分 大 小 写 ) 


none 


不 进行 认证 


group radius 


使 用 radius-server 命令 定义 的 RADIUS 服务 器 进行 认证 


group tacacs 十 


使 用 tacacs-server 命令 定义 的 TACACS 十 服务 器 进行 认证 


在 一 个 认证 方法 列表 中 ,最 多 可 以 列 出 4 种 方法 ,当前 面 的 认证 方法 认证 失败 后 ,将 
使 用 下 一 个 认证 方法 进行 认证 。 
(7) 配置 AAA 的 授权 方法 。 


Router(config) # aaa authorization type {default| listname} methodl [method2...] 


其 中 ,参数 type 表示 授权 类 型 , 即 对 哪 一 类 权限 进行 授权 控制 。 在 Cisco 设备 上 可 


用 的 授权 类 型 如 表 6-4 所 示 。 
表 6-4 Cisco 设备 可 用 的 授权 类 型 
授权 类 型 描 述 
auth-proxy 在 每 个 用 户 基础 上 应 用 指定 的 安全 策略 
exec 用 于 与 用 EXEC 终端 会 话 相关 属性 的 授权 
network 用 于 对 用 户 的 网 络 连接 (PPP、SLIP、ARAP) 进 行 相应 的 授权 
commands 用 于 对 EXEC 命令 级 别 进行 授权 
configuration 用 于 从 AAA 服务 器 上 下 载 配置 的 授权 
ipmobile 用 于 对 IP 移动 服务 的 授权 


reverse-access 


用 于 对 反 向 Telnet 会 话 的 授权 


参数 method 为 具体 的 授权 方法 ,包括 local、none、group radius、group tacacs 十 以 及 
if-authenticated。 其 中 ,if-authenticated 为 允许 已 经 成 功 验证 的 用 户 访问 所 请 求 的 功能 。 
(8) 配置 AAA 的 计 费 方法 。 


Router (config) # aaa accounting type {default | listname)} {start-stop | stop-only | none) methodl 


[method2...] 


其 中 ,参数 start-stop 表示 在 事件 开始 和 结束 时 分 别 建立 计 费 记录 ; stop-only 表示 
只 在 事件 结束 时 建立 一 个 计 费 记录 ; none 表示 关闭 相应 事件 的 计 费 记录 。 
(9) 在 特定 的 线路 上 应 用 认证 .授权 和 计 费 。 


Router(config-line) # login authentication {default|listname} 
Router(config-line) # authorization type {default| listname} 
Router(Cconfig-line) # accounting type {default|listname} 
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2. RADIUS 服务 器 端的 配置 

RADIUS 服务 器 负责 集中 管理 用 户 信息 ,对 用 户 进行 认证 、 授 权 和 计 费 。RADIUS 
服务 器 通常 需要 维护 3 个 数据 库 : Users、Clients 和 Dictionary。 

Users: 用 于 存储 用 户 信息 ,例如 用 户 名 、 密 码 等 。 

Clients: 用 于 存储 RADIUS 客户 端的 信息 ,例如 NAS 的 IP 地 址 共享 密 钥 等 。 

Dictionary: 用 于 存储 RADIUS 的 属性 和 属性 值 与 其 数字 ID 的 对 应 关系 ,以 及 每 个 
属性 所 允许 的 数据 类 型 等 。 

在 这 里 使 用 一 款 免 费 的 RADIUS 服务 器 软件 FreeRADIUS. net 来 搭建 RADIUS 服 
务 器 。 该 软件 可 以 去 其 官方 网 站 http://www. freeradius. net 下 载 。 

(1) FreeRADIUS. net 的 安装 

FreeRADIUS. net 的 安装 非常 简单 ,具体 如 图 6-4 一 图 6-7 所 示 。 


BFreeRADIVS. net 1.1.7-r0.0.2 Setup 


Welcome to the FreeRADIUS.net 
Setup Wizard 


This wizard wil guide you through the installation of 
FreeRADIUS .net 


Itis recommended that you close al other applications 
before starting Setup, This wil alow Setup to update certain 
system fles without rebooting your computer 


Chck Next to continue 


图 6-4 FreeRADIUS. net 安装 欢迎 界面 


会 freeRADIVS. net 1.1.7-r0.0.2 Setup =jGfxj 
License Agreement cn 
Please review the cense terms before instaling FreeRADIUS.net. 息 


Press Page Down to see the rest of the agreement, 


SNU GENERAL PUBLIC LICENSE 国 
Version 2, June 1991 


Copyright (C) 1989, 1991 Free Software Foundation, Inc, 


verbatim 
of this license document, but changing & is not alowed. 
Preamble 
The licenses for most software are designed to take away your 到 


FF you accept all the terms of the agreement, choose 1 Agree to continue, You must accept 
the agreement to instal FreeRADIUS.net, 


Nala rntal oyster 2 0b 


ee w]e | 


6-5 ”FreeRADIUS. net 版 权 信息 界面 


i、 
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本 
Choose Install Location < 
Choose the folder in which to nstal FreeRADIUS.net. 生 


Setup wil install FreeRADIUS,netin the folowing folder. 
To install in a different folder, cick Browse and select another Folder. Cick Install to start the 
installation. 


[crreeRaDIUS net Browse,.. 


Space required: 16.5MB 
Space avallable; 9.9G8 


[二 


Nolsoft Irstal eye V2,0b3- 


ee CE | 


图 6-6 FreeRADIUS. net 安装 路 径 界面 


FreeRADIVS. net 1.1.7-r0.0.2 Setap 


Completing the FreeRADIUS,net 
Setup Wizard 


FreeRADIUS,net has been installed on your computer 


Clck Finish to dose this wizard. 


网 Run FreeRADIUS.net 


图 6-7 FreeRADIUS. net 安装 完成 界面 


安装 完成 后 ,运行 FreeRADIUS. net ,在 命令 行 界面 下 输入 netstat-an 命令 查看 系统 
端口 监听 情况 ,可 以 看 到 UDP 的 1812 和 1813 两 个 端口 处 于 监听 状态 。 

(2) FreeRADIUS. net 的 配置 

FreeRADIUS. net 在 安装 后 必须 要 经 过 配置 才能 够 正常 工作 。FreeRADIUS. net 的 
配置 文件 均 保存 在 其 安装 目录 下 的 etc\raddb 子 目录 中 。 配 置 主要 涉及 clients. conf 和 
Users. conf 两 个 配置 文件 。 

DO 配置 RADIUS 客户 端 信息 。RADIUS 客户 端 信息 在 配置 文件 clients. conf 中 进 
行 配置 。 使 用 写字 板 打 开 clients. conf 文件 ,并 在 文件 末尾 为 每 一 个 RADIUS 客户 端 添 
加 一 段 配置 信息 如 下 : 


client RADIUS 客户 端 IP 地 址 /网 络 前 级 ( 
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secret 一 RADIUS 服务 器 与 RADIUS 客户 端的 共享 密 钥 值 
shortname 三 RADIUS 客户 端的 主机 名 
} 
其 中 ,shortname 可 以 是 任意 值 ,并 不 要 求 一 定 要 和 RADIUS 客户 端的 主机 名 一 致 。 
@ 配置 RADIUS 用 户 信息 。RADIUS 用 户 信 息 在 配置 文件 users. conf 中 进行 配 
置 。 使 用 写字 板 打开 users. conf 文件 ,并 在 文件 最 开始 的 位 置 为 每 一 个 用 户 添加 一 行 配 
置信 息 如 下 : 


用 户 名 User-Password 王 一 "用 户 密码 " 


其 中 ,用 户 名 是 否 携带 AAA 域名 需要 和 RADIUS 客户 端 上 的 user-name-format 命 
令 的 配置 一 致 。 

注意 ; 在 配置 完成 后 ,必须 重启 FreeRADIUS 服务 ,配置 才能 够 生效 。 

3. RADIUS 配置 举例 

假设 存在 如 图 6-8 所 示 的 网 络 ,要 求 配置 RADIUS 服务 ,使 PC, 远程 登录 到 交换 机 
上 时 首选 使 用 RADIUS 进行 认证 ,授权 和 计 费 ,在 RADIUS 服务 器 没有 响应 时 则 使 用 本 
地 认证 ,授权 和 计 费 。 其 中 要 求 配置 AAA 域名 为 network,RADIUS 服务 器 与 RADIUS 
客户 端 之 间 的 共享 密 钥 为 computer, RADIUS 认证 使 用 的 用 户 名 和 密码 分 别 是 abc 和 
123, 本 地 认证 使 用 的 用 户 名 和 密码 分 别 是 xyz 和 456。 


SWA 


PC Vlan 1 PADIUS 服务 器 
192,168.1.2/24 192.168.1.1/24 192.168.1,100/24 


图 6-8 RADIUS 的 配置 


H3C 交换 机 上 具体 的 配置 命令 如 下 : 


[SWA]userinterface vty 0 4 

[SWA-ui-vty0-4] authentication-mode scheme 
[SWA-ui-vty0-4] quit 

[SWA |]local-user xyz 

[SWA-luser-xyz] password simple 456 
[SWA-luser-xyz]level 3 

[SWA-luser-xyz]service-type telnet 

[SWA-luser-xyz] quit 

[SWA]radius scheme login 

[SWA-radius-login] primary authentication 192.168.1.100 
[SWA-radius-login| primary accounting 192.168.1.100 
[SWA-radius-login] nas-ip 192.168.1.1 
[SWA-radius-login| key authentication computer 
[SWA-radius-login| key accounting computer 
[SWA-radius-login | user-name-format with-domain 


[SWA-radius-login | server-type standard 


™ 
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[SWA-radius-login] quit 

[SWA]domain network 

[SWA-isp-network]authentication radius-scheme login local 
[SWA-isp-network]accounting radius-scheme login 
[SWA-isp-network]accounting optional 
[SWA-isp-network]quit 

[SWA]domain default enable network 


注意 ; 在 这 里 使 用 的 交换 机 是 H3C E126A, 配 置 命令 与 本 节 的 第 一 小 节 中 给 出 的 配 


置 命令 存在 部 分 区 别 。 另 外 ,由 于 FreeRADIUS 不 支持 H3C 的 私有 属性 ,因此 服务 器 类 
型 被 设置 为 standard。 


Cisco 交换 机 上 具体 的 配置 命令 如 下 : 


SWA(config) # username xyz password 456 

SWA(config) # aaa new-model 

SWA(config) # radius-server host 192.168.1.100 auth-port 1812 acct-port 1813 
SWA(config) # radius-server key computer 

SWA(config) # aaa authentication login tel-authen group radius local 
SWA(config) # aaa accounting connection tel-acc start-stop group radius 
SWA(config) # line vty 0 4 

SWA(config-line) # login authentication tel-authen 

SWA(config-line) # accounting connection tel-acc 


注意 : Cisco 交换 机 上 没有 关于 域名 network 的 配置 命令 。 
RADIUS 服务 器 的 配置 如 下 : 
配置 文件 clients. conf 的 末尾 添加 如 下 信息 : 


client 192.168.1.1/24 { 
secret = computer 
shortname = SWA 

} 


配置 文件 users. conf 的 开始 位 置 添 加 如 下 信息 : 
abc@network User-Password 一 一 "123" 


注意 : 如 果 是 H3C 交换 机 ,配置 文件 users. conf 中 的 用 户 名 为 abc@network; 而 如 


果 是 Cisco 交换 机 ,配置 文件 users. conf 中 的 用 户 名 为 abc。 


配置 完成 后 ,重新 启动 FreeRADIUS 服务 。 
在 PC, 的 命令 行 界面 下 使 用 Telnet 命令 登录 交换 机 SWA, 同 时 在 RADIUS 服务 器 


上 打开 Wireshark 软件 捕获 数据 包 。 


如 果 交 换 机 SWA 为 H3C 设备 ,PC, 上 的 登录 信息 如 下 : 


C:\Documents and Settings\Administrator>telnet 192.168.1.1 
Login authentication 


Username:abc 
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Password: 

<sSWwA> 

WApr 200:40:58:059 2000 SWA SHELL/5/LOGIN:- 1 - abc(192.168.1.2) in unitl login 
SWAD system-view 


% Unrecognized command found at “' position. 

<SWA> quit 

从 PC 上 的 登录 信息 可 以 看 出 ,使 用 用 户 名 abc 成 功 登 录 到 交换 机 SWA ,该 用 户 的 
登录 是 使 用 RADIUS 服务 器 进行 认证 实现 的 。 由 于 FreeRADIUS 服务 不 支持 H3C 的 
私有 属性 ,无 法 对 用 户 的 级 别 进行 分 级 授权 ,因此 用 户 abc 在 登录 到 交换 机 SWA 上 后 只 
具有 默认 的 最 低 访问 级 的 权限 。 

如 果 交 换 机 SWA 为 Cisco 设备 ,PC 上 的 登录 信息 如 下 : 


C:\Documents and Settings\Administrator> telnet 192.168.1.1 
User Access Verification 


Username:abc 

Password: 

SWA>enable 

SWA # configure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
SWA(config)# 


在 RADIUS 服务 器 上 捕获 的 Wireshark 数据 包 如 图 6-9 所 示 。 


a Frame 5 (159 bytes on wire, 159 bytes captured) l 
昌 Ethernet II, Src: Hangzhou_0b:30:48 (3c:e5:a6:0b:30:48), Dst: HonHaipr_3b:ae:36 
a Internet Protocol, Src: 192.168.1.1 (192.168.1.1), Dst: 192.168.1.100 (192.168.: 

a User Datagram Protocol, Src Port: commplex-1link (5001), Dst Port: radius (1812) 
四 Radius Protocol = 


6-9 RADIUS 数据 报 文 


从 上 图 中 可 以 看 到 RADIUS 的 认证 请 求 包 , 认 证 接受 包 、 计 费 开 始 请 求 包 、 计 费 开 始 
请 求 响 应 包 、 计 费 结 束 请 求 包 和 计 费 结束 请 求 响 应 包 。 

此 时 使 用 用 户 名 xyz 无 法 登录 到 交换 机 SWA 上 ,因为 RADIUS 服务 器 上 的 配置 文 
件 users. conf 中 不 存在 用 户 名 xyz 的 信息 。 

将 RADIUS 服务 器 DOWN 掉 , 然 后 在 PC, 的 命令 行 界面 下 使 用 Telnet 命令 登录 交 
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换 机 SWA ,将 会 发 现 用 户 名 abc 无 法 登录 到 交换 机 SWA 上 ,但 用 户 名 xyz 则 可 以 登录 。 
具体 信息 如 下 : 


C:\Documents and Settings\Administrator>telnet 192.168.1.1 
Login authentication 


Username:abc 
Password: 
% Login failed! 


Username: xyz 

Password: 

<SWA> 

HAPpr 201:05:53:401 2000 SWA SHELL/5/LOGIN:- 1 - xyz(192.168.1.2) in unitl login 

<SWAD> system-view 

System View: return to User View with Ctrl 十 Z. 

[SWA] 

这 是 因为 在 AAA 域 配置 了 Local 为 第 二 认证 方案 ,因此 在 RADIUS 服务 器 DOWN 
掉 以 后 ,将 使 用 本 地 认证 。 由 于 在 本 地 用 户 xyz 的 配置 中 指定 了 其 运行 级 别 为 管理 级 , 因 
此 用 户 xyz 登录 到 交换 机 SWA 上 以 后 ,将 被 授权 拥有 管理 级 的 权限 。 

RADIUS 服务 器 对 用 户 进行 认证 后 ,会 在 FreeRADIUS. net 的 安装 目录 下 的 var\ 
log\radius\radacct 子 目 录 中 保存 认证 和 计 费 信息 。FreeRADIUS 会 为 每 一 个 NAS 建立 
一 个 以 NAS 的 IP 地 址 命名 的 子 目 录 , 在 该 子 目 录 中 包含 3 个 文件 ,分 别 是 : auth-detail- 
日 期 . log .detail- 日 期 . log 和 reply-detail- 日 期 . log。 

文件 “auth-detail- 日 期 . log” 保 存 的 是 用 户 认证 信息 ,具体 内 容 如 下 : 


Packet-Type = Access-Request 

Sat Feb 11 03:53:40 2012 
User-Name = "abc@network" 
User-Password = "123" 
NAS-IP-Address = 192.168.1.1 
NAS-Identifier = "3ce5a60b3048" 
NAS-Port = 16838657 
NAS-Port-Type = Ethernet 
Service-Type = Login-User 
Login-IP-Host = 192.168.1.1 
Calling-Station-Id = "0000-0000-0000" 
Framed-IP-Address = 192.168.1.2 
Client-IP-Address = 192.168.1.1 


文件 “detail- 日 期 . log" 保 存 的 是 用 户 计 费 信息 ,具体 内 容 如 下 : 


Sat Feb 11 03:53:40 2012 
User-Name = "abc@network" 
NAS-Identifier = "3ce5a60b3048" 
NAS-Port = 16838657 
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NAS-Port-Type = Ethernet 


Calling-Station-Id = "0000-0000-0000" 
Acct-Status-Type = Start 

Acct-Authentic = RADIUS 

Acct-Session-Id = "1100030201406" 
Framed-IP-Address = 192.168.1.2 
NAS-IP-Address = 192.168.1.1 
Event-Timestamp 一 "Apr 2 2000 09:40:26" 
Service-Type = Login-User 
Client-IP-Address = 192.168.1.1 
Acct-Unique-Session-Id = "96ed5f593923a615" 
Timestamp = 1328903620 


Sat Feb 11 03:53:45 2012 
User-Name = "abc@network" 
NAS-Identifier = "3ce5a60b3048" 
NAS-Port = 16838657 
NAS-Port-Type = Ethernet 
Calling-Station-Id = "0000-0000-0000" 
Acct-Status-Type = Stop 
Acct-Authentic = RADIUS 
Acct-Session-Id = "1100030201406" 
Framed-IP-Address = 192.168.1.2 
NAS-IP-Address = 192.168.1.1 
Event-Timestamp = "Apr 2 2000 09:40:31" 
Service-Type = Login-User 
Acct-Session-Time = 5 
Acct-Delay-Time = 0 
Acct-Input-Octets = 0 
Acct-Input-Packets = 0 
Acct-Output-Octets = 0 
Acct-Output-Packets = 0 
Acct-Input-Gigawords = 0 
Acct-Output-Gigawords = 0 
Acct-Terminate-Cause = NAS-Error 
Client-IP-Address = 192.168.1.1 
Acct-Unique-Session-1d = "96ed5f593923a615" 
Timestamp = 1328903625 


文件 “reply-detail- 日 期 . log” 的 具体 内 容 如 下 : 


Packet-Type = Access-Accept 
Sat Feb 11 03:53:40 2012 


6.3 IEEE 802. 1x 


在 以 太 网 中 ,默认 情况 下 用 户主 机 只 要 可 以 连接 到 交换 机 的 物理 端口 ,就 可 以 访问 整 
个 网 络 中 的 所 有 资源 。 但 是 在 商务 以 太 网 (如 写字 楼 中 的 以 太 网 ) 或 移动 办 公 等 应 用 场 
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合 , 网 络 服务 的 提供 者 往往 希望 对 终端 用 户 的 接 和 人 进行 控制 , 即 在 以 太 网 接 和 人 设备 的 端口 
一 级 对 所 接 入 的 设备 进行 认证 和 控制 ,从 而 产生 了 基于 端口 的 网 络 接 入 控制 (Port Based 
Network Access Control) 需 求 。 在 网 络 中 ,实现 这 一 需求 的 协议 为 IEEE 802. 1x。 

IEEE 802. 1x 协议 最 初 作为 无 线 局 域 网 的 接 入 控制 协议 出 现 ,用 来 解决 无 线 局 域 网 
用 户 的 接 入 认证 问题 ,后 来 被 引入 到 有 线 局 域 网 中 进行 用 户 接 入 认证 。 在 应 用 了 IEEE 
802. 1x 的 交换 机 端口 上 ,如 果 该 端口 连接 的 终端 设备 能 够 通过 认证 , 即 可 以 访问 网 络 中 
的 资源 ; 而 如 果 不 能 通过 认证 , 则 无 法 访问 网 络 中 的 资源 。 

6.3.1 IEEE 802. 1x 的 体系 结构 

IEEE 802. 1x 采 用 C/S 结构 ,在 其 体系 结构 中 包含 客户 端 (Supplicant System) ,设备 
端 (Authenticator System) 和 认证 服务 器 (Authentication Server System)3 个 实体 ,具体 
如 图 6-10 所 示 。 


设备 端 


次 各 江 扫 设备 端 PAE 
受 控 非 受 控 
端口 端口 


认证 服务 器 


认证 服务 器 


LAN/WLAN 


图 6-10 IEEE 802. 1x 的 体系 结构 


客户 端 是 位 于 局 域 网 一 端的 实体 ,由 该 链 路 另 一 端的 设备 端 对 其 进行 认证 。 客 户 端 
一 般 为 PC, 通 过 启动 IEEE 802. 1x 客户 端 软件 发 起 802. 1x 认证 ,客户 端 需要 支持 局 域 
网 上 的 可 扩展 认证 协议 (Extensible Authentication Protocol Over LAN,EAPOL) 。 

设备 端 是 位 于 局 域 网 男 一 端的 实体 ,用 于 对 所 连接 的 客户 端 进行 认证 。 设 备 端 一 般 
为 接 入 交换 机 , 它 为 客户 端 提 供 接 入 局 域 网 的 端口 ,该 端口 可 以 是 物理 端口 ,也 可 以 是 逻 
辑 端 口 。 

认证 服务 器 是 为 设备 端 提供 认证 服务 的 实体 ,用 于 实现 对 客户 端的 认证 ,授权 和 计 
费 ,一 般 是 RADIUS 服务 器 。 

从 图 6-10 中 可 以 看 到 在 客户 端 和 设备 端 实体 中 有 PAE、 受 控 端口 和 非 受 控 端口 ,下 
面 分别 对 其 概念 进行 解释 。 

(1) PAE: PAE 的 全 称 为 Port Access Entity, 即 端口 访问 实体 。PAE 是 在 设备 端口 
上 具体 负责 执行 算法 和 协议 操作 的 实体 对 象 。 设 备 端 PAE 利用 认证 服务 器 对 需要 接 入 
局 域 网 的 客户 端 进 行 认证 ,并 根据 认证 结果 来 控制 受 控 端 口 的 状态 为 授权 或 者 非 授 权 ; 
客户 端 PAE 负责 响应 设备 端的 认证 请 求 , 向 设备 端 提交 用 户 的 认证 信息 ,客户 端 PAE 也 
可 以 主动 向 设备 端 发 送 认 证 请 求 和 下 线 请 求 。 

(2) 受 控 端口 和 非 受 控 端 口 : 设备 端 为 客户 端 提供 的 物理 接 和 人 端口 在 逻辑 上 被 划分 
成 两 个 端口 , 即 受 控 端口 和 非 受 控 端口 。 作 为 同一 个 物理 端口 的 两 个 部 分 ,所 有 到 达 该 物 
理 端 口 的 数据 帧 ,在 受 控 端口 和 非 受 控 端口 上 均 可 见 ,但 两 个 逻辑 端口 在 功能 实现 上 有 所 
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区 别 。 其 中 非 受 控 端 口 始终 处 于 双向 联通 状态 ,主要 用 来 传递 EAPOL 协议 帧 ,以 保证 客 
户 端 任何 时 候 都 能 够 发 送 或 接收 认证 报 文 ; 受 控 端 口 则 只 有 在 授权 状态 下 才 处 于 联通 状 
态 , 用 于 传递 业务 报 文 。 
6.3.2 可 扩展 认证 协议 

可 扩展 认证 协议 (Extensible Authentication Protocol, EAP) 在 IEEE 802. 1x 认证 系 
统 中 被 用 来 在 客户 端 ,设备 端 和 认证 服务 器 之 间 交 换 认证 信息 。 其 中 在 客户 端 PAE 和 设 
备 端 PAE 之 间 ,EAP 协议 报 文 使 用 EAPOL 进行 封装 ,直接 承载 于 以 太 网 环境 中 ; 而 在 
设备 端 PAE 和 认证 服务 器 之 间 则 可 以 承载 于 RADIUS 协议 中 ,如 图 6-11 所 示 。 


最 EAPOL ey RADIUS 


客户 端 设备 端 认证 服务 器 
图 6-11 IEEE 802.1x 工作 机 制 


1. EAPOL 报 文 结构 
EAPOL 通过 对 EAP 报 文 进行 封装 ,使 其 可 以 在 以 太 网 上 进行 传送 。EAPOL 的 报 
文 结构 如 图 6-12 所 示 。 


EAPOL 报 文中 的 各 项 参数 说 明 如 下 。 ) 吕 
(1) PAE Ethernet Type: 表示 协议 类 型 ， PAE Ethernet Type 

IEEE 802. 1x 分 配 的 协议 类 型 为 0x888E。 长 度 为 | protocol Version Type 

2 字 节 。 Length 
(2) Protocol Version: 表示 协议 的 版 本 号 ,长 

度 为 1 字 节 。 Packet Body 


(3) Type: 表示 EAPOL 数据 帧 的 类 型 ,长 度 
为 1 字 节 。EAPOL 数据 帧 的 类 型 如 表 6-5 所 示 。 


表 6-5 ”EAPOL 数据 帧 的 类 型 


图 6-12 ”EAPOL 报 文 结构 


Type 报 文 类 型 报 文 说 明 
0 EAP-Packet 认证 信息 帧 ,用 来 承载 认证 信息 
1 EAPOL-Start 认证 发 起 帧 
区 EAPOL-Logoff 退出 请 求 帧 


其 中 ,EAPOL-Start 和 EAPOL-Logoff 报 文中 不 包含 Packet Body 字段 。 

(4) Length: 表示 Packet Body 字段 的 长 度 ,单位 为 字 节 。EAPOL-Start 和 EAPOL- 
Logoff 报 文中 的 Length 字段 取 值 为 0。 长 度 为 2 字 节 。 

(5) Packet Body: 表示 EAP 报 文 内 容 , 不 同类 型 的 EAPOL 数据 帧 具有 不 同 的 
格式 。 


2. EAP 报 文 结构 
EAP-Packet 报 文中 的 Packet Body 部 分 即 为 EAP 报 文 , 其 报 文 结构 如 图 6-13 所 示 。 
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EAP 报 文中 的 各 项 参数 说 明 如 下 。 

(1) Code: 表示 EAP 报 文 的 类 型 ,共有 4 种 ,分 别 是 : Request、Response、Success 和 
Failure。 长 度 为 1 个 字 节 。 

(2) Identifier: 用 于 匹配 Request 消息 和 Response 消息 ,长 度 为 1 个 字 节 。 

(3) Length: EAP 报 文 的 长 度 , 包 括 Code、Identifier、Length 和 Data 的 全 部 内 容 , 单 
位 为 字 节 。 其 取 值 与 EAPOL 报 文中 的 Length 字段 的 取 值 相同 。 长 度 为 2 个 字 节 。 

(4) Data: EAP 的 数据 信息 ,其 中 Success 和 Failure 类 型 的 EAP 报 文中 没有 Data 
字段 ; Request 和 Response 类 型 的 EAP 报 文中 的 Data 字段 格式 如 图 6-14 所 示 。 


0 15 
Code Identifier 
Length 
0 7 N 
Data 
Type Type Data 
图 6-13 ”EAP 报 文 结构 图 6-14 Data 字段 格式 


其 中 ,Type 字段 表示 EAP 的 认证 类 型 , 取 值 为 1 时 代表 Identity, 用 来 查询 对 方 的 身 
份 ; 取 值 为 4 时 代表 MD5-Challenge, 类 似 于 PPP 的 CHAP 协议 ,包含 质询 消息 。Type 
Data 字段 的 内 容 由 Type 字段 来 决定 ,不 同 EAP 认证 类 型 的 Type Data 字段 的 取 值 
不 同 。 
6.3.3 IEEE 802. 1x 本 地 认证 

与 AAA 类似,IEEE 802. 1x 也 可 以 分 为 本 地 认证 和 远 端 认证 两 种 方式 ,采用 本 地 认 
证 时 ,认证 服务 器 集成 在 设备 端 上 , 即 具 体 的 用 户 名 和 密码 信息 均 保 存在 设备 端 上 。 本 地 
认证 方式 适用 于 网 络 规模 较 小 、 客 户 端 数量 不 多 的 情况 。 


1. 本 地 认证 流程 

本 地 认证 的 具体 流程 如 图 6-15 所 示 。 

(1) 在 用 户 有 访问 网 络 的 需求 时 ,打开 IEEE 802. 1x 客户 端 程序 输入 用 户 名 和 密码 ， 
客户 端 程序 向 设备 端 发 送 EAPOL-Start 报 文 ,开始 启动 一 次 认证 过 程 。 

注意 ; EAPOL-Start 报 文中 不 包含 任何 的 EAP 信息 。 

(2) 设备 端 收 到 来 自 客户 端的 EAPOL-Start 报 文 后 ,向 客户 端 发 出 EAP-Request/ 
Identity 报 文 ,要 求 客户 端 发 送 输 入 的 用 户 名 ,来 查询 客户 端的 身份 。 

(3) 客户 端 响应 设备 端的 用 户 身份 查询 请 求 ,将 用 户 名 信息 通过 EAP-Response/ 
Identity 报 文 发 送 给 设备 端 。 

(4) 设备 端 收 到 客户 端 发 来 的 EAP-Response/ldentity 报 文 后 ,将 其 中 的 用 户 名 信息 
与 自己 本 地 数据 库 中 的 用 户 名 进行 比 对 ,找到 该 用 户 名 对 应 的 密码 ,并 使 用 随机 生成 的 一 
个 加 密 字 对 密码 进行 加 密 处 理 , 同 时 将 随机 加 密 字 通过 EAP-Request/ MD5-Challenge 报 
文 发 送 给 客户 端 。 
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图 6-15 IEEE 802. 1x 本 地 认证 流程 


(5) 客户 端 收 到 设备 端 发 来 的 EAP-Request/MD5-Challenge 报 文 后 ,使 用 其 中 的 随 
机 加 密 字 对 密码 进行 加 密 处 理 , 并 将 加 密 后 的 密码 通过 EAP-Response/ MD5-Challenge 
报 文 发 送 给 设备 端 。 

(6) 设备 端 将 从 客户 端 发 来 的 EAP-Response/MD5-Challenge 报 文中 获得 的 加 密 密 
码 与 自己 计算 出 的 加 密 密 码 进行 比 对 , 若 两 者 相同 , 则 认为 用 户 合法 。 向 客户 端 发 送 
EAP-Success 报 文 , 通 知客 户 端 IEEE 802. 1x 认证 通过 ,同时 将 受 控 端口 的 状态 改 为 授权 
状态 ,允许 用 户 通过 该 端口 访问 网 络 。 

(7) 用 户 下 线 时 ,客户 端 向 设备 端 发 送 EAPOL-Logoff 报 文 ,设备 端 将 受 控 端 口 的 状 
态 由 授权 状态 改 为 非 授权 状态 ,不 再 允许 用 户 通过 该 端口 访问 网 络 。 


2. 本 地 认证 配置 

IEEE 802. 1x 本 地 认证 的 配置 分 为 设备 端的 配置 和 客户 端的 配置 两 部 分 ,下 面 分 别 
对 其 进行 介绍 。 

(1) H3C 设备 端的 配置 

QO@ 开启 全 局 的 IEEE 802. 1x 特性 。 


[H3C]dotlx 


在 默认 情况 下 ,网 络 设备 上 不 启用 IEEE 802. 1x 功能 。 
@ 开启 相应 端口 的 IEEE 802. 1x 特性 。 


[H3C-Ethernetl/0/1]dotlx 
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在 默认 情况 下 ,所 有 端口 的 IEEE 802. 1x 特性 均 为 关闭 状态 ,必须 要 同时 开启 全 局 
和 端口 的 IEEE 802. 1x 特性 后 ,IEEE 802. 1x 的 配置 才 会 在 相应 端口 上 生效 。 因 此 在 同 
一 台 网 络 接 人 设备 上 可 以 配置 一 部 分 端口 连接 的 用 户 需 要 进行 IEEE 802. 1x 认证 ,而 另 
一 部 分 可 以 直接 访问 网 络 , 增 加 了 其 应 用 的 灵活 性 。 

@ 添加 本 地 用 户 信息 。 


[H3C]local-user user-name 
[H3C-luser-user-name ] password {simple|cipher} password 
[H3C-luser-user-name ] service-type lan-access 


注意 : 本 地 用 户 的 服务 类 型 必须 为 lan-access, 即 局 域 网 接 入 。 
@ 关闭 在 线 用 户 握 手 功能 。 


[H3C]undo dotlx handshake enable 


在 H3C 的 网 络 设备 上 ,默认 开启 在 线 用 户 握手 功能 , 即 在 用 户 认证 成 功 后 设备 端 每 
隔 一 定 的 时 间 ( 默 认为 15s) 就 会 向 客户 端 发 送 握手 请 求 报 文 EAP-Request/Identity ,来 定 
期 检测 用 户 的 在 线 情 况 , 客 户 端 需要 使 用 握手 回应 报 文 EAP-Response/ldentity 进行 响 
应 。 该 功能 需要 有 H3C 私有 客户 端的 支持 ,而 对 于 非 H3C 客户 端 ,由 于 其 不 会 向 设备 端 
发 送 握手 回应 报 文 ,因此 设备 端 将 会 错误 地 认为 用 户 已 经 下 线 。 所 以 如 果 使 用 的 是 非 
H3C 客户 端 ,一 定 要 在 设备 端 关闭 在 线 用 户 握手 功能 。 

@ 设置 端口 接 入 控制 方式 。 


[H3C-Ethernet1/0/1]dotlx port-method {macbased| portbased} 


H3C 的 网 络 设备 支持 两 种 不 同 的 接 入 控制 方式 。 

基于 端口 的 接 入 控制 方式 : 只 要 某 物理 端口 下 的 第 一 个 用 户 认证 成 功 后 ,该 端口 下 
的 其 他 接 入 用 户 无 需 认证 就 可 以 访问 网 络 ,但 当 第 一 个 用 户 下 线 后 ,其 他 用 户 也 会 被 拒绝 
访问 网 络 。 

基于 MAC 地 址 的 接 入 控制 方式 : 同一 端口 下 的 所 有 接 人 用 户 都 需要 单独 认证 ,在 
某 个 用 户 下 线 时 ,不 影响 其 他 用 户 访问 网 络 。 

默认 接 入 控制 方式 为 基于 MAC 地 址 的 接 入 控制 方式 。 

(2) Cisco 设备 端的 配置 

@ 定义 IEEE 802. 1x 身份 认证 方法 列表 。 


Switch( config) # aaa authentication dotlx default method] [method2..] 


如 果 采 用 本 地 认证 方式 , 则 参数 method 为 local; 如 果 采 用 远 端 认证 方式 , 则 参数 为 
group radius。 


@ 开启 IEEE 802. 1x 功能 。 
Switch(config) # dotlx system-auth-control 
@ 在 相应 端口 上 开启 IEEE 802. 1x 功能 。 


Switch(config-if) # switchport mode access 
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Switch(config-if) # dotlx port-control auto 

Switch( config-if) # dotlx pae authenticator 

其 中 ,第 二 条 命令 为 在 端口 上 启用 IEEE 802. 1x 功能 ,第 三 条 命令 为 指定 端口 角色 
为 身份 验证 者 。 

(3) 客户 端的 配置 

为 简单 起 见 ,在 这 里 使 用 Windows XP 系统 自 带 的 客户 端 。 在 默认 情况 下 ,Windows 
XP 上 支持 IEEE 802. 1x 的 服务 Wired AutoConfig 处 于 关闭 状态 ,因此 首先 需要 将 其 开 
启 , 如 图 6-16 所 示 。 


旦 计算 机 管理 


Wired AnteConfig 


启动 此 服务 


描述 
此 服务 在 以 太 网 接口 上 执行 IEEE 
802_1X 身份 验证 


图 6-16 启动 Wired AutoConfig 服务 


启动 Wired AutoConfig 服务 后 ,在 “本 地 连 
接 ” 的 属性 对 话 框 中 将 出 现 * 身 份 验证 ”选项 卡 ， 
在 该 选项 卡 中 选中 “启用 IEEE 802. 1x 身份 验 
证 ” 复 选 框 并 选择 网 络 身份 验证 方法 为 "MD5- 质 
询 ”( 注 意 : 客户 端的 身份 验证 方法 要 与 设备 端 
配置 的 用 户 认证 方法 相 一 致 ,由 于 在 H3C 网 络 
设备 上 默认 的 用 户 认证 方法 为 CHAP, 因 此 客户 
端的 身份 验证 方法 必须 选择 为 “MD5- 质 询 ”), 如 
图 6-17 所 示 。 

在 配置 了 身份 验证 选项 后 ,在 系统 右 下 角 的 
任务 栏 将 会 出 现 “ 需 要 其 他 信息 以 连接 到 网 络 ” 
的 提示 ,如 图 6-18 所 示 。 

单 击 网 络 连接 提示 ,系统 弹出 “输入 凭据 ?对 
话 框 ,如 图 6-19 所 示 。 


上 本 霹 连 接 尾 性 


图 6-17 配置 身份 验证 ?选项 卡 
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图 6-18 网 络 连 接 提示 图 6-19 输入 凭据 对 话 框 


在 “输入 凭据 ?对 话 框 中 输入 用 户 名 和 密码 , 单 击 “ 确 定 ” 按 钮 ,Windows XP 就 会 向 设 
备 端 发 送 EAPOL-Start 报 文 , 开 启 IEEE 802. 1x 的 认证 过 程 。 

3. 本 地 认证 配置 举例 

假设 存在 如 图 6-20 所 示 的 网 络 ,要 求 配置 IEEE 802. 1x 本 地 认证 ,使 PC, 需要 通过 
认证 才 可 以 访问 外 部 网 络 ,认证 用 户 名 和 密码 分 别 为 network 和 123456 。 


SWA. 


PC 
192.168.1.2/24 


6-20 本 地 认证 配置 举例 


H3C 设备 端 具体 的 配置 命令 如 下 : 


[SWA]dotx 

[SWAJ]undo dotlx handshake enable 

[SWA Jinterface Ethernet 1/0/1 
[SWA-Ethernet1/0/1]dotlx 
[SWA-Ethernet1/0/1] quit 

[SWA |]local-user network 
[SWA-luser-network| password simple 123456 
[SWA-luser-network | service-type lan-access 


Cisco 设备 端 具 体 的 配置 命令 如 下 : 


SWA(config) # username network password 123456 
SWA(config) # aaa new-model 

SWA(config) # aaa authentication dotlx default local 
SWA(config) # dotlx system-auth-control 
SWA(config) # interface FastEthernet 0/1 
SWA(config-if) # switchport mode access 
SWA(config-if) # dotlx port-control auto 
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SWA(config-if) # dotlx pae authenticator 


客户 端 配 置 参 考 6. 3.2 小 节 的 内 容 。 

配置 完成 后 ,在 客户 端的 “输入 凭据 ”对 话 框 中 输入 用 户 名 和 密码 ,同时 开启 
Wireshark 捕获 数据 报 文 。 从 捕获 的 数据 报 文中 可 以 看 到 IEEE 802. 1x 认证 的 过 程 ,如 
图 6-21 所 示 。 


Start 
Request, Identity [RFC31 
Identity [RF 


MD5-Challenge 
est 区 se, MD5-Challenge 
HonHaipr_3b:ae:36 EAP 过 


图 6-21 IEEE 802. 1x 认证 过 程 


从 上 图 中 可 以 看 出 ,客户 端 发 送 给 设备 端 EAP 报 文 的 目的 MAC 地 址 均 为 01:80: 
c2:00:00:03, 该 地 址 为 IEEE 定义 的 一 个 组 播 MAC 地 址 。 

认证 成 功 后 ,PC 即 可 访问 外 部 网 络 资源 。 但 是 客户 端 每 隔 30s 左右 就 会 重新 进行 
一 次 认证 ,使 用 Wireshark 捕获 数据 报 文 会 发 现 设备 端 每 隔 30s 就 会 向 客户 端 发 送 一 个 
EAP-Request/Identity 报 文 ,从 而 触发 了 客户 端 重新 进行 认证 。 在 设备 端的 配置 中 已 经 
关闭 了 在 线 用 户 握手 功能 ,设备 端 不 会 向 客户 端 发 送 握手 请 求 报 文 ,而 且 握 手 请 求 报 文 的 
发 送 时 间 间 隔 也 不 是 30s。 那 设备 端 为 什么 会 以 30s 为 间隔 不 断 发 送 EAP-Request/ 
Identity 报 文 呢 ? 这 就 涉及 IEEE 802. 1x 的 认证 触发 方式 ,IEEE 802. 1x 的 认证 触发 方 
式 分 为 两 种 : 

(1) 客户 端 主动 触发 方式 : 客户 端 主动 向 设备 端 发 送 EAPOL-Start 报 文 来 触发 
认证 。 

(2) 设备 端 主动 触发 方式 : 为 兼容 不 支持 主动 发 起 认证 的 客户 端 ,设备 端 会 每 间隔 
一 定 的 时 间 主 动向 客户 端 发 送 EAP-Request/Identity 报 文 来 触发 认证 。 发 送 时 间 间 隔 
由 传送 超时 定时 器 tx-period 来 定义 ,默认 为 30s。 

问题 已 经 很 明朗 ,设备 端 发 送 的 EAP-Request/Identity 报 文 实际 上 是 触发 认证 报 
文 , 正 是 因为 有 了 它 的 存在 ,客户 端 才 会 不 断 地 重新 进行 认证 。 传 送 超时 定时 器 可 以 使 用 
命令 [H3C]dotlx timer tx-period tx-period-value 来 进行 修改 。 

将 SWA 上 的 传送 超时 定时 器 修改 为 最 大 值 120s, 具 体 的 配置 命令 如 下 : 


[SWA]dotlx timer tx-period 120 


配置 完成 后 ,在 客户 端 使 用 Wireshark 捕获 数据 报 文 ,会 发 现 客户 端 重 新 进行 认证 的 
时 间 间 隔 变 为 了 120s。 
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Windows XP 自 带 的 客户 端 无 法 对 H3C 的 私有 属性 (例如 在 线 用 户 握手 功能 ) 提 供 
支持 ,如 果 要 支持 其 私有 属性 , 则 需要 使 用 H3C 专门 的 IEEE 802. 1x 客户 端 程序 iNode。 

使 用 版 本 为 V3. 60-E6210 的 iNode, 在 PC 上 安装 iNode, 在 安装 之 前 一 定 要 将 
Windows XP 自 带 的 客户 端 关闭 ,关闭 的 方法 为 将 “身份 验证 ”选项 卡 中 的 “启用 IEEE 
802. 1x 身份 验证 "选项 取消 选中 ,或 者 直接 停止 【FREE 
Wired AutoConfig 服务 。 5 

iNode 安装 完成 后 会 提示 是 否 重新 启动 计算 
机 ,选择 “ 否 , 稍 后 青 重 新 启动 计算 机 ” 单 选 按 钮 即 
可 。 此 时 在 桌面 上 会 出 现 “iNode 智能 客户 端 ” 的 
图 标 ,双击 该 图 标 ,出 现 iNode 智能 客户 端的 界面 ， 
并 会 弹出 “确认 启动 新 建 连接 向 导 ” 对 话 框 ,如 图 6-22 所 示 。 

在 图 6-22 中 单 击 “ 是 ”, 进 入 “新 建 连接 向 导 ” 界 面 ,在 该 界面 上 单 击 “ 下 一 步 ” 进 入 “ 选 
择 认证 协议 ?界面 ,如 图 6-23 所 示 。 


图 6-22 “确认 启动 新 建 连接 向 导 ” 对 话 框 


选择 认证 协议 
iNode 智 能 客户 篇 为 多 种 协议 提供 了 统一 的 认证 平台 


图 6-23 “选择 认证 协议 ”界面 


在 有 些 版 本 的 iNode 上 ,选择 认证 协议 ?界面 上 除了 802. 1x 协议 外 还 有 一 个 Portal 
协议 (用 于 宽带 认证 上 网 ) 供 选择 ,在 此 选择 “802. 1x 协议 " 单 选 按钮 。 单 击 “ 下 一 步 (N)” 
进入 “选择 连接 类 型 "界面 ,如 图 6-24 所 示 。 


6-24 “选择 连接 类 型 "界面 
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在 “选择 连接 类 型 "界面 上 选择 “普通 连接 " 单 选 按钮 , 单 击 “ 下 一 步 (N)” 进 入 “账户 信 
息 ” 界 面 ,如 图 6-25 所 示 。 


您 需要 用 户 名 和 密码 来 访问 网 络 ， 使 用 证 书 认证 将 增强 通信 的 安全 性 。 


图 6-25 “账户 信息 ”界面 


在 “账户 信息 ”界面 上 ,输入 用 户 名 network 和 密码 123456, 单 击 “ 下 一 步 (N)” 进 入 
“连接 属性 ”界面 ,如 图 6-26 所 示 。 


新 建 连接 向 导 


以 轩 轩 国 轩 回国 


人 
| 


6-26 “连接 属性 ?界面 


在 “连接 属性 ”界面 中 选择 网 卡 并 进行 用 户 选项 等 的 设置 ,其 中 “ 报 文 类 型 "选择 单 播 
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报 文 和 多 播报 文 均 可 ,如 果 选 择 为 单 播报 文 , 则 客户 端 上 
发 送 给 设备 端的 报 文 除 EAPOL-Start 使 用 的 目的 
MAC 地 址 为 01:80:c2:00:00:03, 其 他 所 有 报 文 使 用 
的 目的 地 址 均 为 设备 端的 MAC 地 址 ; 如 果 选 择 为 多 播 
报 文 , 则 客户 端 发 送 给 设备 端的 所 有 报 文 使 用 的 目的 
MAC 地 址 均 为 01:80:c2:00:00:03。“ 用 户 选项 ”部 分 
除 “被 动 下 线 时 自动 重 连 " 外 其 他 的 选项 均 不 要 选择 。 

“连接 属性 ”部 分 配置 完成 后 , 单 击 “ 完 成 "按钮 进入 
“正在 完成 新 建 连接 向 导 ” 界 面 , 在 该 界面 单 击 “ 创 建 " 按 
钮 完成 IEEE 802. 1x 连接 的 创建 。 此 时 在 “iNode 智能 
客户 端 "界面 上 会 出 现 一 个 “我 的 802. 1x 连接 ”图 标 , 右 
击 该 图 标 并 选择 “连接 ”, 弹 出 “我 的 802. 1x 连接 ”对 话 
框 ,如 图 6-27 所 示 。 

在 “我 的 802. 1x 连接 ”中 单 击 “ 连 接 ” 按 钮 ,客户 端 发 起 IEEE 802. 1x 认证 过 程 ,并 在 
“iNode 智能 客户 端 "界面 上 显示 认证 信息 。 如 图 6-28 所 示 。 


图 6-27 “我 的 802. 1x 连接 ”对 话 框 


|2012-03-04 22;41:14 开始 进行 身份 验证 [network] 


2012-03-04 22.41.14 正在 验证 用 户 密 码 . 
012-03-04 22.41.15 你 的 身份 验证 世 功 


6-28 IEEE 802. 1x 认证 信息 


从 图 6-28 上 可 以 看 到 IEEE 802. 1x 认证 成 
功 , 此 时 PC, 即 可 访问 外 部 网 络 资源 。 在 系统 右 
下 角 的 任务 栏 将 会 出 现 一 个 “我 的 802. 1x 连接 , 通 
过 802. 1x 认证 ”的 图 标 , 双 击 该 图 标 , 将 会 弹出 “我 
的 802. 1x 连接 状态 ”对 话 框 ,显示 当前 IEEE 
802. 1x 的 运行 信息 和 网 络 信息 。 如 图 6-29 所 示 。 

在 使 用 iNode 作为 客户 端 时 ,使 用 Wireshark 
wel 捕获 数据 报 文 可 以 发 现 对 于 设备 端 发 送 的 触发 认 
“我 的 802. 1x 连接 状态 ”对 话 框 证 报 文 EAP-Request/Identity, 客户 端 只 是 用 
EAP-Response/ldentity 进行 响应 ,而 不 会 进行 重 


图 6-29 


第 6 章 局 域 网 安全 


新 认证 。 
由 于 iNode 客户 端 支持 在 线 用 户 握手 功能 ,因此 可 以 在 设备 端 开启 该 功能 ,具体 命令 
如 下 : 


[SWA]dotlx handshake enable 


配置 在 线 用 户 握手 功能 后 ,使 用 Wireshark 捕获 数据 报 文 可 以 看 到 对 于 设备 端 握手 
请 求 报 文 EAP-Request/Identity, 客 户 端 使 用 握手 回应 报 文 EAP-Response/Identity 进 
行 响应 。 

无 论 是 在 线 用 户 握 手 还 是 触发 认证 ,设备 端 发 送 的 都 是 EAP-Request/Identity 报 
文 ,而 客户 端 都 是 以 EAP-Response/Identity 报 文 进行 响应 。 但 是 ,设备 端 发 送 的 触发 认 
证 报 文 EAP-Request/Identity 中 的 目的 MAC 地 址 为 01:80:c2:00:00:03; 而 握手 请 求 
报 文 EAP-Request/Identity 中 的 目的 MAC 地 址 为 客户 端的 MAC 地 址 。 

注意 : 如 果 在 某 端 口上 启用 了 IEEE 802. 1x, 则 不 能 配置 该 端口 加 入 汇聚 组 ; 而 如 果 
某 端 口 已 经 加 入 到 了 某 个 汇聚 组 中 , 则 禁止 在 该 端口 上 启用 IEEE 802. 1x。 

6.3.4 IEEE 802. 1x 远 端 认证 

在 第 6. 3. 2 小 节 中 提 到 IEEE 802. 1x 使 用 EAP 协议 进行 认证 ,在 客户 端 PAE 和 设 
备 端 PAE 之 间 ,EAP 协议 通过 EAPOL 的 方式 直接 承载 于 以 太 网 环境 中 ; 而 在 设备 端 
PAE 和 认证 服务 器 之 间 则 必须 使 用 RADIUS 协议 进行 交互 ,此 时 EAP 协议 的 认证 信息 
就 需要 使 用 RADIUS 协议 进行 传递 。 根 据 EAP 信息 在 RADIUS 报 文中 承载 方式 的 不 
同 , 可 以 将 其 分 成 两 种 。 

(1) EAP 中 继 方式 : 采用 EAP 中 继 方 式 (EAP Over RADIUS,EAPOR) 时 ,设备 端 
PAE 将 完整 的 EAP 报 文 直接 封装 在 RADIUS 报 文中 传递 给 认证 服务 器 。RADIUS 专 
门 有 两 个 属性 来 支持 EAP 中 继 方式 ,分 别 是 用 来 封装 EAP 报 文 的 EAP-Message 属性 
(属性 编码 为 79) 和 保障 数据 安全 的 Message-Authenticator 属性 (属性 编码 为 80) 。 

(2) EAP 终结 方式 : 采用 EAP 终结 方式 时 ,EAP 协议 报 文 在 设备 端 被 终结 ,设备 端 
PAE 将 EAP 报 文中 的 有 用 参数 信息 放置 在 RADIUS 报 文中 的 PAP 或 CHAP 属性 参数 
中 传递 给 认证 服务 器 。 

具体 采用 哪 一 种 认证 方式 在 H3C 设备 上 可 以 使 用 如 下 命令 进行 配置 : 


[H3C]dotlx authentication-method {chap|pap|eap} 


其 中 ,CHAP 和 PAP 是 EAP 终结 方式 的 两 种 不 同 认证 方法 ,而 eap 是 EAP 中 继 方 
式 。 系 统 默认 采用 EAP 终结 方式 中 的 CHAP 认证 方法 。 对 于 本 地 认证 而 言 只 能 采用 
EAP 终结 方式 , 即 CHAP 或 者 PAP 的 认证 方法 ,不 能 配置 为 EAP 中 继 方式 。 

1. 远 端 认证 流程 

(1) EAP 中 继 方式 认证 流程 

EAP 中 继 方式 有 4 种 不 同 的 认证 方法 ,具体 说 明 如 下 。 

Q@ EAP-MD5: 验证 客户 端的 身份 ,RADIUS 服务 器 发 送 MD5 加 密 字 给 客户 端 , 客 
户 端 使 用 该 加 密 字 对 密码 进行 加 密 处 理 , 再 传送 给 RADIUS 服务 器 进行 认证 。 
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@ EAP-TLS: TLS 全 称 是 Transport Layer Security, 即 传输 层 安全 。 在 EAP-TLS 
认证 方法 中 ,客户 端 和 RADIUS 服务 器 之 间 检 查 彼此 的 安全 证 书 , 验 证 对 方 的 身份 ,保证 
通信 目的 端的 正确 性 ,防止 网 络 数据 被 窃听 。 

@ EAP-TTLS: TTLS 全 称 是 Tunneled Transport Layer Security, 即 隧道 传输 层 安 
全 。EAP-TTLS 是 对 EAP-TLS 的 扩展 , 它 使 用 TLS 建立 起 来 的 安全 隧道 传递 信息 。 

中 PEAP: PEAP 全 称 是 Protected Extensible Authentication Protocol, 即 受 保护 的 
可 扩展 认证 协议 。 它 首先 创建 和 使 用 TLS 安全 通道 来 进行 完整 性 保护 ,然后 在 该 通道 上 
进行 新 的 EAP 协商 ,从 而 完成 对 客户 端的 身份 验证 。 

在 此 以 EAP-MD5 认证 方法 为 例 介 绍 其 认证 流程 ,具体 如 图 6-30 所 示 。 


客户 端 设备 端 RADIUS 服务 器 
加 EAPOL 有 EAPOR 
1 T 
1 1 
1 EAPOL-Start 1 1 
1 | 1 
1 1 1 
| EAP-Requset/Identity ' | 
全 | RADIUS Access-Request | 
1 EAP-Response/ldentity 1 (EAP-Response/ldentity) 
上 一 | 
| RADIUS Access-Challenge 1 
1 EAP-RequseWMD5-Challenge | (EAP-Requse/MD5-Challenge) "| 
— 一 
1 1 RADIUS Access-Request 1 
| _ EAP-Response/MD5-Challenge | (EAP-Requse/MD5-Challenge) | 
| 
| RADIUS Access-Accept 
1 EAP-Success 1 (EAP-Success) 1 
me 一 
1 1 1 
! 端口 被 授权 | 
1 六 1 
| 用 户 访问 网 络 | 
« | 
1 1 1 
1 EAPOL-Logoff a 1 
| 1 1 
1 1 
| 端口 非 授权 | 
| 1 


图 6-30 EAP 中 继 方 式 认 证 流程 


@ 在 用 户 有 访问 网 络 的 需求 时 ,打开 IEEE 802. 1x 客户 端 程序 输入 用 户 名 和 密码 ， 
客户 端 程序 向 设备 端 发 送 EAPOL-Start 报 文 ,开始 启动 一 次 认证 过 程 。 

@ 设备 端 收 到 来 自 客户 端的 EAPOL-Start 报 文 后 ,向 客户 端 发 出 EAP-Request/ 
Identity 报 文 , 要 求 客户 端 发 送 输 入 的 用 户 名 ,来 查询 客户 端的 身份 。 

@ 客户 端 响应 设备 端的 用 户 身 份 查询 请 求 ,将 用 户 名 信息 通过 EAP-Response/ 
Identity 报 文 发 送 给 设备 端 。 设 备 端 将 从 客户 端 收 到 的 EAP-Response/Identity 报 文 封 
装 到 RADIUS Access-Request 报 文中 发 送 给 RADIUS 服务 器 。 

四 RADIUS 服务 器 收 到 设备 端 转发 来 的 用 户 名 信息 后 ,将 其 与 数据 库 中 的 用 户 名 进 


第 6 章 局 域 网 安全 


行 比 对 ,找到 该 用 户 名 对 应 的 密码 ,并 使 用 随机 生成 的 一 个 加 密 字 对 密码 进行 加 密 处 理 ， 
同时 将 随机 加 密 字 通过 RADIUS Access-Challenge 报 文 发 送 给 设备 端 ,由 设备 端 通过 
EAP-Request/MD5-Challenge 报 文 发 送 给 客户 端 。 

@ 客户 端 收 到 设备 端 发 来 的 EAP-Request/ MD5-Challenge 报 文 后 ,使 用 其 中 的 随 
机 加 密 字 对 密码 进行 加 密 处 理 , 并 将 加 密 后 的 密码 通过 EAP-Response/MD5-Challenge 
报 文 发 送 给 设备 端 。 设 备 端 将 从 客户 端 收 到 的 EAP-Response/ MD5-Challenge 报 文 封装 
到 RADIUS Access-Request 报 文中 发 送 给 RADIUS 服务 器 。 

@ RADIUS 服务 器 收 到 设备 端 转发 来 的 密码 信息 后 ,将 其 与 自己 计算 出 的 加 密 密 码 
进行 比 对 , 若 两 者 相同 , 则 认为 用 户 合法 ,向 设备 端 发 送 RADIUS Access-Accept 报 文 。 
设备 端 接收 到 该 报 文 后 ,向 客户 端 发 送 EAP-Success 报 文 , 通 知客 户 端 IEEE 802. 1x 认 
证 通过 ,同时 将 受 控 端口 的 状态 改 为 授权 状态 ,允许 用 户 通 过 该 端口 访问 网 络 。 

@ 用 户 下 线 时 ,客户 端 向 设备 端 发 送 EAPOL-Logoff 报 文 , 设 备 端 将 受 控 端口 的 状 
态 由 授权 状态 改 为 非 授权 状态 ,不 再 允许 用 户 通过 该 端口 访问 网 络 。 

注意 : 由 于 在 使 用 EAP 中 继 方 式 进行 认证 时 ,设备 端 只 是 将 EAP 报 文 封装 到 
RADIUS 报 文 中 ,或 从 RADIUS 报 文 中 解 封 装 出 EAP 报 文 ,而 不 会 对 EAP 报 文 的 内 容 
做 任何 改动 ,因此 具体 是 使 用 EAP-MD5、EAP-TLS、EAP-TTLS 和 PEAP 这 4 种 认证 方 
法 中 的 哪 一 种 由 客户 端 和 RADIUS 服务 器 共同 决定 ,与 设备 端 无 关 。 在 设备 端 上 只 需要 
通过 [H3C]dotlx authentication-method eap 命令 启动 EAP 中 继 方 式 即 可 。 

(2) EAP 终结 方式 认证 流程 

在 此 以 CHAP 认证 方法 为 例 介绍 EAP 终结 方式 的 认证 流程 ,具体 如 图 6-31 所 示 。 

@ 在 用 户 有 访问 网 络 的 需求 时 ,打开 IEEE 802. 1x 客户 端 程序 输入 用 户 名 和 密码 ， 
客户 端 程序 向 设备 端 发 送 EAPOL-Start 报 文 ,开始 启动 一 次 认证 过 程 。 

@ 设备 端 收 到 来 自 客户 端的 EAPOL-Start 报 文 后 ,向 客户 端 发 出 EAP-Request/ 
Identity 报 文 ,要求 客户 端 发 送 输入 的 用 户 名 ,来 查询 客户 端的 身份 。 

@ 客户 端 响应 设备 端的 用 户 身 份 查询 请 求 ,将 用 户 名 信息 通过 EAP-Response/ 
Identity 报 文 发 送 给 设备 端 。 

@ 设备 端 收 到 客户 端 发 来 的 EAP-Response/Identity 报 文 后 , 暂 存 其 中 的 用 户 名 信 
息 ,随机 生成 一 个 加 密 字 并 将 其 通过 EAP-Request/ MD5-Challenge 报 文 发 送 给 客户 端 。 

@ 客户 端 收 到 设备 端 发 来 的 EAP-Request/ MD5-Challenge 报 文 后 ,使 用 其 中 的 随 
机 加 密 字 对 密码 进行 加 密 处 理 , 并 将 加 密 后 的 密码 通过 EAP-Response/ MD5-Challenge 
报 文 发 送 给 设备 端 。 

@ 设备 端 从 接收 到 的 EAP-Response/MD5-Challenge 报 文中 获得 客户 端 使 用 随机 
加 密 字 加 密 的 密码 ,然后 将 该 密码 和 暂 存 的 用 户 名 以 及 随机 加 密 字 通 过 RADIUS 
Access-Request 报 文 发 送 给 RADIUS 服务 器 。 

@ RADIUS 服务 器 从 收 到 的 RADIUS Access-Request 报 文中 获取 用 户 名 、 加 密 密 
码 和 加 密 字 信 息 ,并 将 获取 的 用 户 名 与 其 数据 库 中 的 用 户 名 进行 比 对 ,找到 该 用 户 名 对 应 
的 密码 ,然后 使 用 获取 的 随机 加 密 字 对 密码 进行 加 密 处 理 , 并 将 加 密 处 理 结果 与 获取 的 加 
密 密 码 进行 比 对 , 若 两 者 相同 , 则 认为 用 户 合法 ,向 设备 端 发 送 RADIUS Access-Accept 
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客户 端 设备 端 RADIUS 服务 器 
加) EAPOL 有 RADIUS 

1 
1 1 
1 EAPOL-Start 1 1 
r | 1 
1 1 1 
1 EAP-Requset/Identity 1 1 
一 1 
1 1 1 
1 EAP-Rs /Identi 1 1 
上 esponselldentity 由 | 
1 1 1 
LU EAP-Requset/MD5-Challenge "| | 
1 1 1 
| EAP-Response/MD5-Challenge | RADIUS Access-Request | 
i 一 (CHAP-Requse/MD5-Challenge) | 
1 一 | 
| | RADIUS Access-Accept | 
1 1 (CHAP-Success) 1 
ls EAP-Success ny 1 

1 1 
| 端口 被 授权 | 
1 T 1 
用 户 访问 网 络 
7 
! EAPOL-Logoff 1 | 
i “ 1 
1 1 
| 端口 非 授权 | 
1 1 


图 6-31 EAP 终结 方式 认证 流程 


报 文 。 设 备 端 接收 到 该 报 文 后 ,向 客户 端 发 送 EAP-Success 报 文 ,通知 客户 端 IEEE 
802. 1x 认证 通过 ,同时 将 受 控 端口 的 状态 改 为 授权 状态 ,允许 用 户 通 过 该 端口 访问 网 络 。 

用 户 下 线 时 ,客户 端 向 设备 端 发 送 EAPOL-Logoff 报 文 ,设备 端 将 受 控 端口 的 状 
态 由 授权 状态 改 为 非 授权 状态 ,不 再 允许 用 户 通过 该 端口 访问 网 络 。 


2. 远 端 认证 配置 举例 

远 端 认证 涉及 的 配置 命令 在 第 6.2. 2 小 节 和 第 6. 3. 3 小 节 中 已 做 过 详细 讲解 ,在 此 
不 再 进行 介绍 。 

假设 存在 如 图 6-32 所 示 的 网 络 ,交换 机 型 号 为 H3C E126A ,要 求 配置 IEEE 802. 1x 
远 端 认证 ,认证 方法 使 用 EAP 终结 方式 中 的 CHAP 认证 方法 ,PC, 需要 通过 认证 才 可 以 
访问 外 部 网 络 , 认 证 用 户 名 和 密码 分 别 为 network 和 123456; 设备 端 配置 的 AAA 域名 
为 study; 设备 端 与 RADIUS 服务 器 之 间 的 共享 密 钥 为 test。 

H3C 设备 端 上 具体 的 配置 命令 如 下 : 


[SWA]dotlx 

[SWAJ]undo dotlx handshake enable 
[SWA]interface Ethernet 1/0/1 
[SWA-Ethernet1/0/1]dotlx 
[SWA-Ethernet1/0/1]quit 
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SWA 
Vilan1:192.168.1.1/24 


全 
| El1/01 外 网 


PC 
192.168.1.2/24 


RADIUS 服务 器 
192.168.1.100/24 


6-32 ” 远 端 认证 配置 举例 


[SWA]radius scheme LanAcc 

[SWA-radius-LanAcc]primary authentication 192.168.1.100 1812 
[SWA-radius-LanAcc] primary accounting 192.168.1.100 1813 
[SWA-radius-LanAcc]nas-ip 192.168.1.1 
[SWA-radius-LanAcc]key authentication test 
[SWA-radius-LanAcc]key accounting test 
[SWA-radius-LanAcc] user-name-format with-domain 
[SWA-radius-LanAcc] server-type standard 
[SWA-radius-LanAcc] quit 

[SWA]domain study 

[SWA-isp-study]authentication radius-scheme LanAcc 
[SWA-isp-study]accounting radius-scheme LanAcc 
[SWA-isp-study]accounting optional 

[SWA-isp-study] quit 

[SWA]domain default enable study 


Cisco 设备 端 上 具体 的 配置 命令 如 下 : 


SWA(config) # aaa new-model 

SWA(config) # radius-server host 192.168.1.100 auth-port 1812 acct-port 1813 
SWA(config) # radius-server key test 

SWA(config) # aaa authentication dotlx default group radius 

SWA(config) # dotlx system-auth-control 

SWA(config) # interface FastEthernet 0/1 

SWA(config-if) # switchport mode access 

SWA(config-if) # dotlx port-control auto 

SWA(config-if) # dotlx pae authenticator 


RADIUS 服务 器 的 配置 如 下 : 
(配置 文件 clients. conf 的 末尾 添加 如 下 信息 。) 
client 192.168.1.1/24 { 


Secret 一 test 
shortname = SWA 


局 域 网 安全 


211 


计算 机 网 络 安全 与 管理 (第 2 版 ) 


配置 文件 users. conf 的 开始 位 置 添加 如 下 信息 : 
network@study User-Password 一 一 "123456" 


注意 : 如 果 交 换 机 SWA 为 Cisco 设备 , 则 配置 文件 users. conf 中 的 用 户 名 为 
network 。 

配置 完成 后 ,重新 启动 FreeRADIUS 服务 。 

客户 端 使 用 Windows XP 自 带 的 客户 端 软件 或 者 使 用 H3C 的 iNode 客户 端 软 件 均 
可 ,配置 略 。 

配置 完成 后 ,在 客户 端 软件 中 输入 用 户 名 和 密码 ,启动 IEEE 802. 1x 认证 过 程 , 同 时 
在 PC 和 RADIUS 服务 器 上 开启 Wireshark 捕获 数据 报 文 。 

对 比 PC 上 捕获 的 EAPOL 报 文 和 RADIUS 服务 器 上 捕获 的 RADIUS 报 文 , 会 发 
现 如 下 信息 : 

(1) 在 PC 上 捕获 的 EAP-Request/MD5-Challenge 报 文中 Value 属性 的 值 和 在 
RADIUS 服务 器 上 捕获 的 RADIUS Access-Request 报 文 中 CHAP-Challenge 属性 的 值 
相同 ,该 值 为 设备 端 生成 的 随机 加 密 字 。 

(2) 在 PC 上 捕获 的 EAP-Response/MD5-Challenge 报 文中 的 Value 属性 的 值 和 在 
RADIUS 服务 器 上 捕获 的 RADIUS Access-Request 报 文中 CHAP-Password 属性 的 值 
相同 ,该 值 为 使 用 随机 加 密 字 加 密 后 的 用 户 密码 。 

具体 如 图 6-33 一 6-35 所 示 ,这 也 验证 了 EAP 终结 方式 的 认证 流程 。 


EAP (RADIUS)- pcap - Wireshark 


10 1.991< HonHaiPr_3b:at Nearest EAPOL 
11 1.9955 Hangzhou_0b: 3( HonHaipr_3t EAP Request, Identity 人 
35 10.421 Ele 3b: ak Bearest EAP Response, Identit FC31 


37 10.442 HonHaipr_3b:a at Nearest EAP Response， NDS- -Chal lenge 
38 10.487 Hangzhou_0b: 3( HonHaipr_3t EAP Success 


engEh: 
Type: MD5-Challenge [RFC3748] (4) 
Value-Size: 16 

Value: FDC2E965437BFAF98C456EE8C93AB6B61 


6-33 ”EAP-Request/MD5-Challenge 中 Value 的 值 @ 


认证 成 功 后 ,PC 即 可 访问 外 部 网 络 资源 。 


第 6 章 局 域 网 安全 


EAP (RADIUS)- pcap — Yireshark 


EAPOL Start | 
( HonHaipr_3t EAP Request, Identity [RFC374 
¢ Nearest EAP Response, Identity [RFC31 
CHonHaipr_ 3 EAP Request， MD5- -Challenge [F 


SUCCesS 


value- Size: 16 
Value: 556127CF1C1AC3ABDAFO4C29C6E8DD3A 
Extra data (7 bytes): 6E6574776F726B 


RADIUS. pcap 一 Wireshark 


03556127CF1C1AC3ABDAFO4C29C6E8DD3A 
FDC2E96437BFAF98C456EE8C93AB6B61 


6-35 RADIUS Access-Request 报 文中 CHAP-Challenge 和 CHAP-Password 的 值 


6.4 端口 安全 技术 


端口 安全 是 一 种 基于 MAC 地 址 对 网 络 接 入 进行 控制 的 安全 机 制 , 它 通过 定义 各 种 
端口 安全 模式 ,让 网 络 设备 端口 学 习 到 该 端口 下 合法 的 终端 MAC 地 址 ,然后 通过 检测 端 
口 收 到 的 数据 帧 中 的 源 MAC 地 址 来 控制 非 授权 设备 对 网 络 的 访问 ; 通过 检测 从 端口 发 
出 的 数据 帧 中 的 目的 MAC 地 址 来 控制 对 非 授权 设备 的 访问 。 端 口 安全 是 对 已 有 的 
IEEE 802. 1x 认证 和 MAC 地 址 认证 的 扩充 。 


/局 
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MAC 地 址 认证 是 一 种 基于 端口 和 MAC 地 址 对 用 户 的 网 络 访问 权限 进行 控制 的 认 
证 方法 ,与 IEEE 802. 1x 类 似 , 同 样 也 分 为 本 地 认证 和 远 端 RADIUS 服务 器 认证 两 种 方 
式 。MAC 地 址 认证 一 般 以 MAC 地 址 作为 认证 的 用 户 名 。 关 于 MAC 地 址 认证 的 知识 
在 本 书 中 不 再 进行 介绍 , 感 兴趣 的 读者 可 以 自行 查阅 相关 资料 。 

6.4.1 端口 安全 基础 

1. 端口 安全 的 特性 

端口 安全 包括 3 个 特性 ,具体 说 明 如 下 。 

(1) NTK 特性 : NTK(Need To Know) 特 性 通过 检测 从 端口 发 出 数据 帧 的 目的 
MAC 地 址 ,保证 数据 帧 只 能 被 发 送 到 已 经 通过 认证 的 设备 上 ,从 而 防止 非法 设备 窃听 网 
络 数据 。 

(2) Intrusion Protection 特性 : 即 和 人 侵 检测 特性 ,该 特性 检测 端口 收 到 数据 帧 的 源 
MAC 地 址 , 若 某 端口 收 到 了 源 MAC 地 址 为 非法 MAC 的 数据 帧 , 则 对 该 端口 采取 相应 
的 安全 策略 ,包括 暂时 断 开 连接 ,永久 断 开 连接 或 者 过 滤 源 MAC 地 址 为 该 非法 MAC 的 
数据 帧 ,以 确保 端口 的 安全 性 。 

(3) Trap 特性 : 该 特性 是 在 端口 有 特定 的 数据 帧 (如 非法 入侵 .IEEE 802. 1x 认证 失 
败 、 用 户 上 下 线 等 产生 的 数据 帧 ) 传 送 时 ,网 络 设备 将 发 送 Trap 消息 ,便于 网 管 员 对 其 进 
行 监控 。 

2. 端口 安全 的 模式 

不 同型 号 的 网 络 设备 支持 的 端口 安全 模式 种 类 会 有 所 区 别 ,但 一 般 都 会 有 十 几 种 模 
式 。 由 于 大 部 分 模式 均 与 IEEE 802. 1x 认证 和 MAC 地 址 认证 有 关 , 相 对 比较 复杂 ,因此 
不 对 其 进行 介绍 。 在 这 里 只 对 最 简单 并 独立 于 IEEE 802. 1x 认证 和 MAC 地 址 认证 的 
3 种 端口 安全 模式 进行 介绍 。 

(1) noRestrictions 模式 : 此 模式 为 端口 的 默认 模式 ,在 此 模式 下 端口 处 于 无 限制 
(2) autolearn 模式 : 在 此 模式 下 ,端口 通过 手工 配置 或 自动 学 习 到 的 安全 MAC 地 
址 被 保存 在 安全 MAC 地 址 表 中 。 当 端口 下 的 安全 MAC 地 址 数 达 到 了 端口 配置 的 最 大 
安全 MAC 地 址 数 后 ,端口 模式 会 自动 转变 为 secure 模式 ,并 停止 添加 新 的 安全 MAC 地 
址 。 此 后 ,只 有 源 MAC 地 址 为 安全 MAC 地 址 的 数据 帧 才能 通过 该 端口 。 

(3) secure 模式 : 在 此 模式 下 ,禁止 端口 学 习 MAC 地 址 。 只 有 源 MAC 地 址 为 安全 
MAC 地 址 的 数据 帧 才能 通过 该 端口 。 


6.4.2 端口 安全 的 配置 


在 此 以 H3C E126A 交换 机 为 例 ,介绍 端口 安全 配置 涉及 的 命令 。 
(1) 启动 端口 安全 功能 。 


[H3C]port-security enable 


默认 情况 下 ,端口 安全 功能 处 于 关闭 状态 。 需 要 注意 的 是 ,IEEE 802. 1x/MAC 地 址 
认证 功能 与 端口 安全 功能 不 能 同时 开启 ,和 否则 系统 会 提示 错误 。 例 如 ,在 开启 了 IEEE 
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802. 1x 认证 后 ,如 果 再 配置 端口 安全 功能 ,系统 提示 错误 如 下 : 


[H3C] port-security enable 

Port-security can not be configured for dotlx is enabled. 

同样 ,在 启动 了 端口 安全 的 功能 后 ,IEEE 802. 1x 认证 和 MAC 地 址 认证 均 不 能 再 进 
行 手 动 配置 ,而 只 能 随 着 端口 安全 模式 的 改变 由 系统 进行 配置 。 

(2) 配置 端口 允许 的 最 大 安全 MAC 地 址 数 。 


[H3C-Ethernet1/0/1]port-security max-mac-count count-value 


通过 配置 端口 允许 的 最 大 安全 MAC 地 址 数 ,可 以 控制 某 端口 接 人 网 络 的 最 大 用 户 
数量 。 一 旦 某 端 口上 的 安全 MAC 达到 了 count-vlaue 的 值 , 则 该 端口 将 不 再 学 习 任 何 安 
全 MAC 地 址 。 

(3) 配置 端口 安全 模式 。 


[H3C-Ethernetl/0/1] port-security port-mode autolearn 


由 于 只 对 最 简单 的 三 种 端口 安全 模式 进行 了 介绍 ,其 中 noRestrictions 模式 为 端口 
默认 模式 ,secure 模式 下 不 进行 安全 MAC 地 址 的 学 习 , 所 以 需要 将 端口 安全 模式 配置 为 
autolearn。 需 要 注意 的 是 ,在 配置 端口 为 autolearn 模式 时 ,必须 已 经 配置 了 端口 允许 的 
最 大 安全 MAC 地 址 数 ,否则 系统 会 提示 错误 ,具体 如 下 : 


[H3C-Ethernet1/0/1] port-security port-mode autolearn 
Cannot enable autolearn when max mac-address count is not set. 


另外 ,如 果 某 端口 上 配置 了 端口 安全 模式 , 则 不 能 配置 该 端口 加 入 汇聚 组 ; 而 如 果 某 
端口 已 经 加 入 到 了 某 个 汇聚 组 中 , 则 禁止 在 该 端口 上 配置 端口 安全 模式 。 
(4) 配置 安全 MAC 地 址 。 


[H3C-Ethernetl/0/1]mac-address security macaddress vlan vilarid 


通过 手动 配置 的 安全 MAC 地 址 与 端口 自动 学 习 到 的 安全 MAC 地 址 性 质 完全 相 
同 ,无 论 是 手动 配置 还 是 自动 学 习 的 安全 MAC 地 址 都 不 会 被 老化 ,并 且 会 被 写 入 到 配置 
文件 中 ,在 保存 配置 文件 后 ,即使 重启 设备 ,安全 MAC 地 址 也 不 会 丢失 。 

在 同一 个 VLAN 中 ,一 个 安全 MAC 地 址 只 能 被 添加 到 一 个 端口 上 ,因此 可 以 实现 
同一 VLAN 内 MAC 地 址 与 端口 的 绑 定 。 

在 H3C S3610 交换 机 上 配置 安全 MAC 地 址 的 命令 为 ， 


[H3C-Ethernetl/0/1] port-security mac-address security macaddress vlan vlarid 


(5) 配置 端口 安全 的 特性 。 
Q@ 配置 NTK 特性 。 


[H3C-Ethernetl/0/1] portsecurity ntk-mode {ntkonly|ntk-withbroadcasts| ntk-withmulticasts} 


其 中 ,ntkonly 是 指 仅 允许 目的 MAC 地 址 为 已 通过 认证 的 MAC 地 址 的 单 播报 文通 
过 ; ntk-withbroadcasts 是 指 允 许 目的 MAC 地 址 为 已 通过 认证 的 MAC 地 址 的 单 播报 文 
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或 目的 MAC 地 址 为 广播 地 址 的 报 文通 过 ; ntk-withmulticasts 是 指 允 许 目的 MAC 地 址 
为 已 通过 认证 的 MAC 地 址 的 单 播报 文 以 及 目的 MAC 地 址 为 广播 地 址 或 组 播 地 址 的 报 
文通 过 。 

默认 情况 下 ,端口 上 没有 配置 NTK 特性 。 

@ 配置 Intrusion Protection 特性 。 


[H3C-Ethernet1/0/1]port-security intrusion-mode {blockmac| disableport| disableport-temporarily} 


Intrusion Protection 特性 用 来 配置 当 网 络 设备 检测 到 一 个 非法 报 文 试图 通过 端口 访 
问 网 络 时 ,网 络 设备 所 采取 的 安全 措施 。 其 中 ,blockmac 表示 将 源 MAC 地 址 为 非法 
MAC 的 非法 报 文 阻塞 , 即 丢弃 掉 ; disableport 表示 将 收 到 非法 报 文 的 端口 永久 关闭 ; 
disableport-temporarily 表示 将 收 到 非法 报 文 的 端口 暂时 关闭 一 段 时 间 ,默认 为 20s, 该 时 
间 可 以 通过 下 面 的 命令 进行 调整 ; 


[H3C] port-security timer disableport time-value 


默认 情况 下 ,端口 上 没有 配置 Intrusion Protection 特性 。 

@ 配置 Trap 特性 。 

[H3C] port-security trap 

{addresslearned | dotl xlogfailure | dotlxlogoff | dotlxlogon | intrusion | ralmlogfailure | ralmlogoff | 

ralmlogon} 

注意 : 与 NTK 特性 和 Intrusion Protection 特性 在 具体 的 端口 视图 下 配置 不 同 ， 
Trap 特性 在 系统 视图 下 进行 配置 。 

具体 的 参数 解释 如 下 。 

addresslearned: 端口 学 习 到 新 MAC 地 址 时 发 出 报警 信息 ; 

dotlxlogfailure/dotlxlogoff/dotlxlogon: IEEE 802. 1x 用 户 认 证 失败 /下 线 /认证 成 
功 时 发 出 报警 信息 ; 

ralmlogfailure/ralmlogoff/ralmlogon: MAC 地 址 认证 用 户 认证 失败 /下 线 / 认 证 成 
功 时 发 出 报警 信息 ; 

intrusion: 发 现 非法 报 文 时 发 出 报警 信息 。 

Cisco 设备 在 配置 端口 安全 之 前 ,首先 需要 保证 相应 的 端口 模式 为 access。 

配置 涉及 的 命令 如 下 。 

(1) 在 端口 上 启用 端口 安全 特性 。 

Switch(config-if) # switchport port-security 

(2) 配置 端口 允许 的 最 大 安全 MAC 地 址 数 。 

Switch(config-if) # switchport port-security maximum number 

(3) 配置 安全 MAC 地 址 。 


Switch(config-if) # switchport port-security mac-address mac-address 
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(4) 配置 端口 启用 动态 学 习 MAC 地 址 。 

Switch(config-if) # switchport port-security mac-address sticky 

(5) 配置 端口 的 安全 违规 行为 模式 。 

Switch(config-if) # switchport port-security violation {protect|restrict| shutdown} 


该 命令 的 作用 实际 上 相当 于 H3C 设备 上 配置 的 Intrusion Protection 特性 。 其 中 ， 
参数 protect 是 指 阻塞 源 MAC 地 址 为 非法 MAC 的 非法 报 文 ,但 不 发 送 报警 信息 ; 
restrict 是 指 阻塞 非法 报 文 ,同时 发 送 syslog 报警 信息 ; shutdown 是 指 关 闭 接口 。 默 认 
安全 违规 行为 模式 为 shutdown。 

(6) 配置 端口 的 关闭 时 间 。 


Switch( config) # errdisable recovery cause psecure-violation 
Switch( config) # errdisable recovery interval seconds 


当 端 口 的 安全 违规 行为 模式 为 shutdown 时 ,可 以 配置 端口 的 关闭 时 间 。 第 一 条 命 
令 为 打开 errdisable 的 计时 器 ,第 二 条 命令 为 设置 计时 器 的 时 间 间 隔 ,默认 为 300s。 
假设 存在 如 图 6-36 所 示 的 网 络 , 要 求 在 交换 机 SWA 上 启用 端口 安全 功能 ,在 端口 
Ethernet1/0/1 上 最 多 允许 两 个 用 户 接 人 ,配置 端口 的 安全 模式 为 autolearn, 配置 
Intrusion Protection 特性 为 暂时 关闭 端口 ,关闭 时 间 为 60s。 
SWA 


El1/0/1 


时 


PC PC PC 
90FB-A63B-7888 90FB-A63B-AE6A 90FB-A63B-AE36 


6-36 ”端口 安全 配置 举例 


H3C 设备 具体 的 配置 命令 如 下 : 


[SWA]port-security enable 

[SWA]interface Ethernet 1/0/1 

[SWA-Ethernet1/0/1]port-security max-mac-count 2 
[SWA-Ethernet1/0/1] port-security port-mode autolearn 
[SWA-Ethernetl1/0/1] port-security intrusion-mode disableport-temporarily 
[SWA-Ethernetl/0/1] quit 

[SWA]port-security timer disableport 60 


Cisco 设备 具体 的 配置 命令 如 下 : 


SWA(config) # interface FastEthernet 0/1 
SWA(config-if) # switchport mode access 
SWA(config-if) # switchport port-security 
SWA(config-if) # switchport port-security maximum 2 


A 
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SWA(config-if) # switchport port-security mac-address sticky 
SWA(config-if) # switchport port-security violation shutdown 
SWA(config-if) # exit 

SWA(config) # errdisable recovery cause psecure-violation 
SWA(config) # errdisable recovery interval 60 


配置 完成 后 ,在 H3C 设备 上 使 用 display port-security 命令 查看 端口 安全 配置 信息 如 下 : 


[SWA]display port-security interface Ethernet 1/0/1 
Ethernet1/0/1 is link-up 

Port mode is AutoLearn 

NeedtoKnow mode is disabled 

Intrusion mode is disableportTemporarily 

Max mac-address num is 2 

Stored mac-address num is 1 

Authorization is permit 


从 显示 的 结果 可 以 看 出 ,端口 Ethernet1/0/1 的 模式 为 autolearn, Intrusion 特性 为 
disableportTemporarily, 允许 的 最 大 安全 MAC 地 址 数 为 2, 当前 已 经 存储 的 安全 MAC 
地 址 数 为 1。Authorization is permit 指 的 是 端口 应 用 RADIUS 服务 器 下 发 的 授权 信息 ， 
在 这 里 不 需要 关注 。 

在 Cisco 设备 上 使 用 show port-security 命令 查看 端口 安全 配置 信息 如 下 : 


SWA# show port-security interface FastEthernet 0/1 


Port Security : Enabled 
Port Status : Secure-up 
Violation Mode : Shutdown 
Aging Time : 0 mins 
Aging Type : Absolute 
SecureStatic Address Aging : Disabled 
Maximum MAC Addresses :2 

Total MAC Addresses SS 
Configured MAC Addresses :0 


Sticky MAC Addresses 
Last Source Address: Vlan 


) 
: 90fb.a63b.7888:1 


Security Violation Count :0 

在 H3C 设备 上 使 用 display mac-address security 命令 (在 H3C S3610 交换 机 上 命令 
为 display port-security mac-address security) 查 看 交换 机 学 习 到 的 安全 MAC 地 址 的 信 
息 如 下 : 

[SWA]display mac-address security 

MAC ADDR VLANID STATE PORT INDEX AGING TIME(s) 

90fb-a63b-7888 1 Security Ethernet1/0/1 NOAGED 


一 1 mac address(es) found 


从 显示 的 结果 可 以 看 出 ,在 端口 Ethernet1/0/1 上 学 习 到 一 个 安全 MAC 地 址 90fb- 


a63b-7888, 即 PC 的 MAC 地 址 。 
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在 Cisco 设备 上 使 用 show port-security address 命令 查看 交换 机 学 习 到 的 安全 
MAC 地 址 信息 如 下 : 


SWA# show port-security address 
Secure Mac Address Table 


Vlan Mac Address Type Ports Remaining Age (mins) 
E 90fb.a63b.7888 SecureSticky Fa0/1 = 
Total Addresses in System (excluding one mac per port) :0 


Max Addresses limit in System (excluding one mac per port) : 8192 


将 PC 从 交换 机 SWA 上 断 开 ,将 PC* 连接 到 交换 机 SWA 的 端口 Ethernet1/0/1 
上 ,然后 在 H3C 设备 上 使 用 display port-security 命令 查看 端口 安全 配置 信息 如 下 : 


[SWA]display port-security interface Ethernet 1/0/1 
Ethernet1/0/1 is link-up 

Port mode is Secure 

NeedtoKnow mode is disabled 

Intrusion mode is disableportTemporarily 

Max mac-address num is 2 

Stored mac-address num is 2 


Authorization is permit 


从 显示 的 结果 可 以 看 出 ,此 时 存储 的 安全 MAC 地 址 数 达 到 了 人 允许 的 最 大 安全 MAC 
地 址 数 ,而 端口 的 模式 自动 转变 为 了 secure。 
在 Cisco 设备 上 使 用 show port-security 命令 查看 端口 安全 配置 信息 如 下 : 


SWA# show port-security interface FastEthernet 0/1 


Port Security : Enabled 
Port Status : Secure-up 
Violation Mode : Shutdown 
Aging Time : 0 mins 
Aging Type : Absolute 
SecureStatic Address Aging : Disabled 
Maximum MAC Addresses Ei 

Total MAC Addresses EE 
Configured MAC Addresses :0 

Sticky MAC Addresses 2 

Last Source Address: Vlan : 90fb.a63b.ae6a:1 
Security Violation Count EO 


在 H3C 设 备 上 使 用 display mac-address security 命令 查看 交换 机 学 习 到 的 安全 
MAC 地 址 信息 如 下 : 
[SWA]display mac-address security 


MAC ADDR VLANID STATE PORT INDEX AGING TIME(s) 
90fb-a63b-7888 1 Security Ethernet1/0/1 NOAGED 
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90fb-a63b-ae6a 1 Security Ethernet1/0/1 NOAGED 


一 2 mac address(es) found 一 


从 显示 的 结果 可 以 看 出 ,在 端口 Ethernetl/0/1 上 又 学 习 到 了 一 个 安全 MAC 地 址 
90fb-a63b-ae6a, 即 PC; 的 MAC 地 址 。 

在 Cisco 设备 上 使 用 show port-security address 命令 查看 交换 机 学 习 到 的 安全 
MAC 地 址 信息 如 下 : 


SWA# show port-security address 
Secure Mac Address Table 


Vlan Mac Address Type Ports Remaining Age (mins) 


1 90fb.a63b.7888 SecureSticky Fa0/1 一 一 
1 90fb.a63b.ae6a SecureSticky Fa0/1 ©— 


Total Addresses in System (excluding one mac per port) 站 
Max Addresses limit in System (excluding one mac per port) : 8192 


将 PC* 从 交换 机 SWA 上 断 开 ,将 PC 连接 到 交换 机 SWA 的 端口 Ethernet1/0/1 
上 ,此 时 在 超级 终端 上 可 以 看 到 “Ethernet1/0/1 is DOWN” 的 信息 。 在 H3C 设备 上 使 用 
display port-security 命令 查看 端口 安全 配置 信息 如 下 : 
[SWA]display port-security interface Ethernet 1/0/1 
Ethernet1/0/1 is link-down 
了 Port mode is Secure 
NeedtoKnow mode is disabled 
Jntrusion mode is disableportTemporarily 
Max mac-address num is 2 
Stored mac-address num is 2 
Authorization is permit 
从 显示 的 结果 可 以 看 出 ,端口 Ethernet1/0/1 的 状态 为 link-down。 
在 Cisco 设备 上 使 用 show port-security 命令 查看 端口 安全 配置 信息 如 下 : 


SWA# show port-security interface fastEthernet 0/1 


Port Security : Enabled 

Port Status : Secure-shutdown 
Violation Mode : Shutdown 
Aging Time : 0 mins 

Aging Type : Absolute 


SecureStatic Address Aging : Disabled 
Maximum MAC Addresses :2 


Total MAC Addresses :2 
Configured MAC Addresses :0 
Sticky MAC Addresses [车 


Last Source Address:Vlan  : 90fb.a63b.7888:1 
Security Violation Count :1 
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将 PCs 从 交换 机 SWA 上 断 开 ,将 PC 或 者 PC 重新 连接 到 交换 机 SWA 的 端口 
Ethernet1/0/1 上 ,等 待 60s, 会 发 现 端口 Ethernet1/0/1 重新 回 到 UP 状态 。 


6.5 端口 绑 定 技术 


端口 绑 定 技术 通过 将 用 户 的 了 P 地 址 和 MAC 地 址 绑 定 到 指定 的 交换 机 端口 上 ,使 交 
换 机 只 对 从 相应 端口 收 到 的 指定 IP 地 址 和 指定 MAC 地 址 的 数据 报 文 进 行 转发 ,从 而 实 
现 对 端口 转发 的 报 文 进 行 过 滤 控 制 ,增强 端口 的 安全 性 ,实现 IP 源 防护 (IP Source 
Guard,IPSG) 功 能 。 

端口 绑 定 是 针对 端口 的 ,在 一 个 端口 配置 了 端口 绑 定 后 ,只 是 该 端口 被 限制 了 ,而 其 
他 端口 不 受 该 绑 定 的 影响 。 

在 不 同型 号 的 H3C 交换 机 上 端口 绑 定 的 配置 也 有 所 不 同 ,在 这 里 以 交换 机 H3C 
S3610 和 H3C E126A 为 例 介绍 端口 绑 定 的 配置 和 应 用 。 

6.5.1 H3C S3610 上 端口 绑 定 的 配置 

H3C S3610 上 端口 绑 定 的 配置 命令 如 下 : 

[H3C-Ethernet1/0/1] user-bind {ip-address ipr-address | mac-address mac-address | ip-address ipr 

address mac-address mac-address) [vlan vlan-id] 

在 H3C S3610 交换 机 上 支持 IP.MAC\IP+MAC、IP+VLAN、MAC 二 VLAN.IP 十 
MAC 十 VLAN 等 6 种 绑 定 表 项 的 组 合 ,因此 它 既 支持 IP 十 MAC 的 绑 定 ,也 支持 单独 只 
绑 定 IP 地 址 或 单独 只 绑 定 MAC 地 址 。 

假设 存在 如 图 6-37 所 示 的 网 络 , 要 求 在 交换 机 SWA 上 配置 端口 绑 定 ,其 中 将 PC 
的 IP 地 址 绑 定 到 端口 Ethernet1/0/1 上、 将 PC; 的 MAC 地 址 绑 定 到 端口 Ethernet1/0/2 
上 ,将 PC; 的 IP 地址 和 MAC 地 址 绑 定 到 端口 Ethernet1/0/3 上 。 


SWA 
se 


PCI PC PC 
192.168.1.1 192.168.1.2 192.168.1.3 
90FB-A63B-7888 90FB-A63B-AE6A 90FB-A63B-AE36 


6-37 H3C S3610 上 端口 绑 定 的 配置 


具体 的 配置 命令 如 下 : 


[LSWA]interface Ethernet 1/0/1 
[SWA-Ethernet1/0/1]user-bind ip-address 192.168.1.1 
[SWA-Ethernet1/0/1]quit 

[SWA]interface Ethernet 1/0/2 
[SWA-Ethernet1/0/2]user-bind mac-address 90fb-a63b-ae6a 
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[SWA-Ethernet1/0/2] quit 
[SWA |]interface Ethernet 1/0/3 
[SWA-Ethernetl/0/3]user-bind ip-address 192.168.1.3 mac-address 90fb-a63b-ae36 


配置 完成 后 ,使 用 display user-bind 命令 查看 端口 绑 定 信息 如 下 : 


[SWA]display user-bind 
Total entries found: 3 


MAC JP Vlan 了 Port Status 
N/A 192.168.1.1 N/A Ethernet1/0/1 Static 
90fb-a63b-ae6a N/A N/A Ethernet1/0/2 Static 
90fb-a63b-ae36 192.168.1.3 N/A Ethernet1/0/3 Static 


从 显示 的 结果 可 以 看 出 具体 的 IP 地 址 和 MAC 地 址 与 端口 的 绑 定 情况 。 此 时 交换 
机 SWA 的 Ethernet1/0/1、Ethernet1/0/2 和 Ethernet1/0/3 端口 上 仅 人 允许 相应 的 PC 、 
PCs 和 PC; 与 外 部 网 络 通信 ,而 如 果 将 其 他 计算 机 连接 到 这 些 端口 上 ,由 于 相应 的 IP 地 
址 或 MAC 地址 不 匹配 ,将 无 法 连接 外 部 网 络 。 例 如 ,将 PC 的 IP 地 址 修改 为 192. 168. 
1. 10, 会 发 现 PC 将 无 法 连接 外 部 网 络 ,这 是 因为 在 交换 机 SWA 的 端口 Ethernet1/0/1 
收 到 PC, 发 来 的 报 文 后 ,会 将 报 文中 的 源 IP 地 址 与 端口 上 绑 定 的 IP 地 址 进行 比较 ,而 端 
口 Ethernet1/0/1 发 现 报 文 源 IP 地 址 不 在 自己 的 绑 定 表 项 中 ,因此 会 将 PC 发 来 的 报 文 
当做 非法 报 文 丢弃 掉 。 

需要 注意 的 是 : 在 H3C S3610 交换 机 上 ,相同 的 IP 地 址 MAC 地 址 可 以 在 多 个 端口 
上 进行 绑 定 。 例 如 在 上 面 的 例子 中 ,在 将 PCs 的 IP 地 址 和 和 MAC 地 址 绑 定 到 端口 
Ethernet1/0/3 上 的 同时 ,还 可 以 将 其 绑 定 到 端口 Ethernet1/0/4 上 。 


6.5.2 H3C E126A 上 端口 绑 定 的 配置 
H3C E126A 上 端口 绑 定 的 配置 命令 如 下 : 


[H3C-Ethernetl/0/1]am userbind mac-addr mac-address ip-addr ip-address 


在 H3C E126A 交换 机 上 ,只 能 进行 IP 十 MAC 的 绑 定 ,不 支持 单独 只 绑 定 IP 地 址 或 
单独 只 绑 定 MAC 地 址 。 

在 此 依然 使 用 如 图 6-37 所 示 的 网 络 ,要 求 将 PC 、PCs 和 PC; 的 IP 地 址 和 MAC 地 
址 分 别 绑 定 到 交换 机 SWA 的 端口 Ethernet1/0/1、Ethernet1/0/2 和 Ethernetl/0/3 上 。 
具体 的 配置 命令 如 下 : 


[SWA]interface Ethernet 1/0/1 

[SWA-Ethernetl/0/1]am user-bind mac-addr 90fb-a63b-7888 ip-addr 192.168.1.1 
[SWA-Ethernet1/0/1] quit 

[SWAJinterface Ethernet 1/0/2 

[SWA-Ethernetl/0/2]am user-bind mac-addr 90fb-a63b-ae6a ip-addr 192.168.1.2 
[SWA-Ethernetl/0/2] quit 

[SWA]interface Ethernet 1/0/3 

[SWA-Ethernet1/0/3]am user-bind mac-addr 90fb-a63b-ae36 ip-addr 192.168.1.3 


配置 完成 后 ,使 用 display am user-bind 命令 查看 端口 绑 定 信息 如 下 : 
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[SWA]display am user-bind 
Following User address bind have been configured: 


Mac IP Port 

90fb-a63b-7888 192.168.1.1 Ethernet1/0/1 
90fb-a63b-ae6a 192.168.1.2 Ethernet1/0/2 
90fb-a63b-ae36 192.168.1.3 Ethernet1/0/3 


Unit 1:Total 3 found, 3 listed. 


Total: 3 found. 


从 显示 的 结果 可 以 看 出 具体 的 IP 地 址 和 MAC 地 址 与 端口 的 绑 定 情况 。 同 样 , 此 时 
交换 机 SWA 的 Ethernetl/0/1、Ethernetl/0/2 和 Ethernet1/0/3 端口 上 仅 允 许 相 应 的 
PCi PC 和 PCs 与 外 部 网 络 通信 。 

与 H3C S3610 交换 机 不 同 ,对 于 H3C E126A 交换 机 而 言 ,对 于 同一 个 MAC 地 址 和 
IP 地 址 只 能 在 一 个 端口 上 进行 绑 定 ,如 果 在 多 个 端口 上 绑 定 ,系统 将 会 提示 错误 。 例 如 
在 上 面 的 例子 中 ,如 果 将 PCs 的 IP 地 址 和 MAC 地 址 绑 定 到 端口 Ethernet1/0/3 上 的 同 
时 ,再 绑 定 到 端口 Ethernet1/0/4 上 ,系统 显示 的 结果 如 下 : 

[SWA-Ethernetl/0/4]am user-bind mac-addr 90fb-a63b-ae36 ip-addr 192.168.1.3 

The mac address 90fb-a63b-ae36 can not be bound more than one time. 

注意 : 如 果 某 端 口上 配置 了 端口 绑 定 , 则 不 能 配置 该 端口 加 入 汇聚 组 ; 而 如 果 某 端 
口 已 经 加 入 到 了 某 个 汇聚 组 中 , 则 禁止 在 该 端口 上 配置 端口 绑 定 功能 。 

6.5.3 Cisco 设备 端口 绑 定 的 配置 

在 Cisco 设备 上 配置 端口 绑 定 功 能 ,分 成 几 种 不 同 的 情况 ,下 面 分 别 对 其 进行 介绍 。 

(1) IP 十 MAC 的 绑 定 

在 Cisco 设备 上 配置 IP 十 MAC 的 绑 定 是 在 全 局 模式 下 进行 的 ,并 不 会 绑 定 到 特定 的 
端口 上 。 具 体 的 配置 命令 如 下 : 


Switch(config) # arp ip-address mac-address arpa 


(2) MAC 十 端口 的 绑 定 

进行 MAC 十 端口 的 绑 定 ,一 种 方法 是 通过 配置 端口 安全 中 的 静态 安全 MAC 地 址 来 
实现 ,在 上 一 节 中 已 经 进行 了 介绍 ; 另 一 种 方法 是 通过 基于 MAC 地 址 的 扩展 访问 控制 
列表 来 实现 ,涉及 的 命令 如 下 : 

Switch(config) # mac access-list extended acL-name 

Switch( config-ext-macl) # permit host macaddress any 

Switch( config-ext-macl) # exit 

Switch( config) # interface inter face-type interface-number 

Switch( config-if) # mac access-group acLname in 

首先 定义 一 个 基于 MAC 地 址 的 扩展 ACL 来 允许 特定 的 MAC 地 址 访问 任意 的 主 
机 ,然后 将 该 ACL 应 用 到 相应 的 端口 上 ,从 而 实现 MAC 与 端口 的 绑 定 关 系 。 
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(3) IP 十 端口 的 绑 定 

IP 十 端口 绑 定 的 配置 与 MAC 十 端口 绑 定 的 配置 类 似 , 同 样 是 通过 配置 ACL 来 实 
现 。 涉 及 的 命令 如 下 : 

Switch(config) # ip access-list extended acLname 

Switch(config-extrnacl) # permit host ipraddress any 

Switch( config-ext-nacl) # exit 

Switch( config) # interface inter face-type inter face-number 

Switch( config-if) # ip access-group acL-name in 

注意 ; 在 MAC 十 端口 的 绑 定 中 ,配置 基于 MAC 地 址 的 扩展 ACL, 即 MACL; 而 在 
IP 十 端口 的 绑 定 中 ,配置 基于 IP 地 址 的 命名 扩展 ACL, 即 NACL。 

(4) IP 十 MAC 十 端口 的 绑 定 

进行 IP 十 MAC 十 端口 的 绑 定 有 两 种 方法 ,一 种 方法 是 将 IP 十 端口 的 绑 定 与 MAC 十 
端口 的 绑 定 结合 起 来 , 即 分 别 定义 一 个 基于 IP 地 址 的 ACL 和 一 个 基于 MAC 地 址 的 
ACL, 并 将 其 应 用 到 相应 的 端口 上 即 可 实现 IP 十 MAC 十 端口 的 绑 定 ; 另 一 种 方法 是 通过 
ip source binding 命令 来 实现 ,具体 如 下 : 

Switch( config) # ip source binding mac-address vlan vlamid ip-address interface interface-type 

inter face-number 

在 此 依然 使 用 如 图 6-37 所 示 的 网 络 , 要 求 将 PC 、PCs 和 PCs 的 IP 地 址 和 MAC 地 
址 分 别 绑 定 到 交换 机 SWA 的 端口 Ethernet1/0/1、Ethernet1/0/2 和 Ethernetl/0/3 上 。 
具体 的 配置 命令 如 下 : 

SWA(config) # ip source binding 90fb.a63b.7888 vlan 1 192.168.1.1 interface FastEthernet 0/1 


SWA(config) # ip source binding 90fb.a63b.ae6a vlan 1 192.168.1.2 interface FastEthernet 0/2 
SWA(config) # ip source binding 90fb.a63b.ae36 vlan 1 192.168.1.3 interface FastEthernet 0/3 


配置 完成 后 ,使 用 show ip source binding 命令 查看 端口 绑 定 信息 如 下 : 


SWA# show ip source binding 


MacAddress IpAddress Lease(sec) Type VLAN Interface 

90:FB:A6:3B:AE:6A 192.168.1.2 infinite static 1 FastEthernet0/2 
90:FB:A6:3B:78:88 192.168.1.1 infinite static 1 FastEthernet0/1 
90:FB:A6:3B:AE:36 192.168.1.3 infinite static 1 FastEthernet0/3 


Total number of bindings: 3 


6.6 DHCP Snooping 


通过 6. 5 节 的 学 习 , 已 知 可 以 通过 端口 绑 定 技术 来 增强 端口 的 安全 性 ,实现 IP 源 防 
护 功能 。 但 是 静态 的 配置 端口 与 IP 地 址 之 间 的 绑 定 之 前 必须 知道 该 端口 上 所 连接 终端 
的 了 P 地 址 ,而 如 果 终 端 耳 地 址 是 由 DHCP 动态 分 配 的 , 则 无 法 提前 预知 ,此 时 就 需要 借 
助 DHCP Snooping 技术 来 进行 动态 绑 定 。 
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6.6.1 DHCP Snooping 的 功能 

DHCP Snooping 实际 上 是 DHCP 的 一 项 安全 特性 , 它 的 主要 功能 如 下 : 

(1) 保证 客户 端 从 合法 的 DHCP 服务 器 获取 IP 地 址 。 由 于 DHCP 客户 端 并 不 对 
DHCP 服务 器 进行 验证 ,因此 攻击 者 可 以 假冒 DHCP 服务 器 对 客户 端 进行 响应 ,从 而 使 
客户 端 获得 攻击 者 期 望 的 IP 地 址 、 默 认 网 关 地 址 以 及 DNS 服务 器 地 址 ,使 客户 端 将 数据 
流量 发 送 到 攻击 者 指定 的 主机 ,造成 信息 的 泄露 。 

DHCP Snooping 通过 将 连接 DHCP 服务 器 的 端口 指定 为 信任 端口 ,而 将 其 他 的 端 
口 指定 为 不 信任 端口 来 保证 客户 端 从 合法 的 DHCP 服务 器 获取 IP 地 址 。 在 信任 端口 收 
到 DHCP 报 文 后 会 进行 正常 的 转发 ,而 如 果 在 不 信任 端口 上 收 到 了 DHCP 服务 器 响应 
的 DHCP-OFFER 报 文 或 者 DHCP-ACK 报 文 后 将 会 丢弃 ,从 而 防止 客户 端 获得 错误 的 
IP 地 址 。 

攻击 者 一 般 会 首先 通过 DoS 攻击 使 合法 的 DHCP 服务 器 无 法 提供 正常 的 DHCP 服 
务 ,然后 再 伪装 成 DHCP 服务 器 来 欺骗 客户 端 。 因 此 在 设置 信任 端口 的 同时 ,一 般 会 通 
过 在 不 信任 端口 上 配置 DHCP 报 文 限 速 功能 来 防范 基于 DHCP 请 求 的 DoS 攻击 。 

(2) 监听 DHCP 报 文 ,记录 客户 端的 IP 地址 与 MAC 地 址 。DHCP Snooping 通过 
监听 DHCP-REQUEST 报 文 和 从 信任 端口 上 收 到 的 DHCP-ACK 报 文 ,记录 客户 端的 
MAC 地 址 以 及 动态 获得 的 IP 地址 ,并 将 其 保存 到 DHCP Snooping 绑 定 表 中 。 

通过 读 取 DHCP Snooping 绑 定 表 中 表 项 的 内 容 可 以 生成 动态 端口 绑 定 表 项 ,从 而 实 
现 动态 IP 地 址 与 端口 的 绑 定 。 

6.6.2 DHCP Snooping 的 配置 

1.H3C 设备 配置 

H3C 设备 上 DHCP Snooping 涉及 的 配置 命令 如 下 : 

(1) 启用 DHCP Snooping 功能 。 


[H3C]dhcp-snooping 


默认 情况 下 ,DHCP Snooping 功能 处 于 关闭 状态 。 
(2) 设置 信任 端口 。 


[H3C-Ethernet1/0/1]dhep-snooping trust 


在 启用 DHCP Snooping 功能 后 ,在 默认 情况 下 ,所 有 的 端口 均 为 不 信任 端口 ,因此 需 
要 将 直接 或 间接 连接 DHCP 服务 器 的 端口 设置 为 信任 端口 。 
(3) 配置 动态 绑 定 功能 。 


[H3C-Ethernetl/0/1]ip check source (ip-address|mac-address|ip-address mac-address} 


配置 了 动态 绑 定 功能 后 ,交换 机 会 根据 DHCP Snooping 绑 定 表 中 的 记录 自动 生成 动 
态 绑 定 表 项 ,来 实现 动态 IP 地 址 与 端口 之 间 的 绑 定 。 

需要 注意 的 是 ,在 H3C E126A 和 H3C S3610 上 该 命令 的 配置 有 一 些 区 别 ,其 中 在 
H3C E126A 上 不 支持 单独 的 MAC 地 址 绑 定 。 
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假设 存在 如 图 6-38 所 示 的 网 络 ,其 中 交换 机 SWA 的 型 号 为 H3C E126A, 路 由 器 
RTA 作为 DHCP 服务 器 ,PC, 和 PC; 均 设置 为 自动 获得 IP 地 址 。 要 求 在 交换 机 SWA 
上 启用 DHCP Snooping 功能 ,将 连接 路 由 器 RTA 的 端口 Ethernet1/0/24 设置 为 信任 端 
口 ,在 连接 PC, 和 PC; 的 端口 Ethernet1/0/1 和 Ethernet1/0/2 上 配置 动态 绑 定 功能 ,使 
端口 Ethernet1/0/1 和 Ethernet1/0/2 分 别 只 允许 PC 和 PC; 访问 外 部 网 络 。 


RTA SWA 
EO/0 E1/0/24 £ 外 网 
192.168.1.1/24 


DHCP Server 


PC PC 


图 6-38 DHCP Snooping 的 配置 


具体 的 配置 命令 如 下 : 


[RTA]dhcp enable 

RTA]dhecp server forbidden-ip 192.168.1.1 
[RTA]dhcp server ip-pool study 
RTA-dhcp-pool-study] network 192.168.1.0 24 
RTA-dhcp-pool-study] gateway-list 192.168.1.1 


SWA]dhcp-snooping 

SWA]interface Ethernet 1/0/24 

SWA-Ethernet1l/0/24] dhcp-snooping trust 
SWA-Ethernetl/0/24] quit 

SWA |]interface Ethernet 1/0/1 

SWA-Ethernet1/0/1]ip check source ip-address mac-address 
SWA-Ethernet1/0/1]quit 

SWA |]interface Ethernet 1/0/2 

SWA-Ethernetl/0/2]ip check source ip-address mac-address 


配置 完成 后 ,在 交换 机 SWA 上 使 用 display dhcp-snooping 命令 查看 DHCP 
Snooping 绑 定 表 , 显 示 结 果 如 下 : 


[SWA]display dhcp-snooping 

DHCP-Snooping is enabled . 

The client binding table for all untrusted ports. 

Type : D—Dynamic , S—Static 

UnitID:1 

Type IP Address MAC Address Remaining lease VLAN Interface 


— 0 dhcp-snooping item(s) of unit 1 found ”一 


从 显示 的 结果 中 可 以 看 出 ,在 DHCP Snooping 绑 定 表 中 没有 任何 表 项 ,这 是 因为 在 
配置 DHCP Snooping 之 前 先 配置 了 DHCP 服务 器 ,因此 在 配置 DHCP Snooping 时 ,PC 
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和 PC, 已 经 完成 DHCP 的 过 程 ,获得 IP 地 址 。DHCP Snooping 无 法 监听 到 DHCP- 
REQUEST 报 文 和 DHCP-ACK 报 文 , 因 此 无 法 获得 任何 IP 地 址 与 MAC 地 址 的 记录 。 

此 时 在 PC 和 PC 上 使 用 ping 命令 测试 到 达 路 由 器 或 者 外 部 网 络 的 联通 性 ,发 现 
PC, 和 PC; 根本 无 法 连接 路 由 器 和 外 部 网 络 。 这 是 因为 由 于 DHCP Snooping 绑 定 表 中 
没有 任何 绑 定 信息 ,因此 交换 机 SWA 的 端口 Ethernetl/0/1 和 Ethernet1/0/2 会 拒绝 除 
DHCPDISCOVER 和 DHCPREQUEST 报 文 外 的 所 有 数据 包 。 

在 PC, 和 PC* 上 修复 本 地 连接 或 者 重新 启用 本 地 连接 ,使 其 进行 地 址 续 订 或 重新 开 
始 DHCP 过 程 ,然后 在 交换 机 SWA 上 使 用 display dhcp-snooping 命令 查看 DHCP 
Snooping 绑 定 表 , 显 示 结 果 如 下 : 

[SWA]display dhcp-snooping 

DHCP-Snooping is enabled . 


The client binding table for all untrusted ports. 
Type : D-Dynamic ，S--Static 


Unit ID : 1 

Type IP Address MAC Address Remaining lease VLAN Interface 
D 192.168.1.2 90fb-a63b-7888 86227 时 Ethernet1/0/1 

D 192.168.1.3 90fb-a63b-ae36 86140 1 Ethernet1/0/2 


2 dhcp-snooping item(s) of unit 1 found ”一 


此 时 在 PC 和 PC。 上 使 用 ping 命令 测试 到 达 路 由 器 或 者 外 部 网 络 的 联通 性 ,发现 
PC 和 PC; 可 以 连接 路 由 器 和 外 部 网 络 。 如 果 将 PC 或 PC; 的 IP 地 址 静态 修改 为 其 他 
的 IP 地址 ,相应 的 PC 将 无 法 连接 外 部 网 络 , 从 而 验证 了 动态 端口 绑 定 的 有 效 性 。 

注意 : 在 H3C E126A 上 并 不 存在 单独 的 动态 端口 绑 定 表 , 而 是 直接 使 用 DHCP 
Snooping 绑 定 表 中 的 表 项 来 匹配 报 文 的 源 IP 地 址 和 源 MAC 地 址 ,实现 IP 源 防 护 功能 。 

在 上 面 的 例子 中 ,如 果 交 换 机 SWA 的 型 号 是 H3C S3610 ,配置 命令 .测试 过 程 和 测 
试 结果 与 H3C E126A 完全 相同 ,不 同 的 是 在 H3C S3610 上 存在 单独 的 动态 端口 绑 定 表 ， 
当然 该 表 也 是 从 DHCP Snooping 绑 定 表 中 获得 的 。 

当 交 换 机 SWA 使 用 H3C S3610 时 ,在 交换 机 SWA 上 使 用 display dhcp-snooping 
命令 查看 DHCP Snooping 绑 定 表 ,显示 结果 如 下 : 

[SWA]display dhcp-snooping 

DHCP Snooping is enabled . 


The client binding table for all untrusted ports . 
Type : D—Dynamic , S—Static 


Type IP Address MAC Address Lease VLAN Interface 
D 192.168.1.2 90fb-a63b-7888 85576 Y Ethernet1/0/1 
D 192.168.1.3 90fb-a63b-ae36 85683 Y Ethernet1/0/2 


— 2 dhcp-snooping item(s) found ”一 
使 用 display ip check source 命令 查看 动态 端口 绑 定 表 , 显 示 结 果 如 下 : 


[SWA]display ip check source 
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Total entries found: 2 


MAC IP Vlan Port Status 
90fb-a63b-7888 192.168.1.2 1 Ethernet1/0/1 DHCP-SNP 
90fb-a63b-ae36 192.168.1.3 1 Ethernet1/0/2 DHCP-SNP 


比较 上 面 两 条 命令 显示 的 结果 ,可 以 看 出 动态 端口 绑 定 表 学 习 到 了 DHCP Snooping 
绑 定 表 中 的 表 项 。 

2. Cisco 设备 配置 

在 Cisco 设备 上 配置 DHCP Snooping 涉及 的 命令 如 下 。 

(1) 启用 DHCP Snooping 功能 。 


Switch(config) # ip dhcp snooping 

(2) 指定 进行 DHCP Snooping 的 VLAN。 

Switch(config) # ip dhcp snooping vlan {vlanid|vlanidl-vianid2 |vlanidl, vlanid2 .…} 

(3) 设置 信任 端口 。 

Switch(config-if) # ip dhcp snooping trust 

(4) 禁用 Option 选项 。 

Switch(config) # no ip dhcp snooping information option 

在 Cisco 交换 机 上 ,一 旦 启用 DHCP Snooping 功能 ,默认 就 会 在 转发 的 DHCP 请 求 报 文 
中 插入 Option 字段 信息 ,这 可 能 会 导致 DHCP 失败 ,因此 往往 需要 禁用 Option 选项 。 

在 此 依然 使 用 图 6-38 所 示 的 网 络 进行 DHCP Snooping 的 配置 ,具体 的 配置 命令 如 下 

RTA(config) # ip dhcp excluded-address 192.168.1.1 

RTA(config) # ip dhcp pool study 


RTA(dhcp-config) # network 192.168.1.0 255.255.255.0 
RTA(dhcp-config) # default-router 192.168.1.1 


SWA(config) # ip dhcp snooping 

SWA(config) # no ip dhcp snooping information option 
SWA(config) #ip dhcp snooping vlan 1 

SWA(config) # interface FastEthernet 0/24 
SWA(config-if) #ip dhcp snooping trust 


配置 完成 后 ,在 交换 机 SWA 上 使 用 show ip dhcp snooping binding 查看 DHCP 
Snooping 绑 定 表 ,显示 结果 如 下 : 


SWA# show ip dhcp snooping binding 


MacAddress IpAddress Lease(sec) Type VLAN Interface 
90:FB: A6:3B:78:88 192.168.1.2 86109 dhcp-snooping 1 FastEthernet0/1 
90:FB:A6:3B:AE:36192.168.1.3 86080 dhcp-snooping 1 FastEthernet0/1 


Total number of bindings: 2 
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6.7 终端 准 人 控制 


终端 准 入 控制 (End user Admission Domination, EAD) 解 决 方案 从 控制 用 户 终 端 安 
全 接 入 网 络 入 手 , 将 网 络 接 入 控制 和 用 户 终 端 安 全 策略 控制 相 结合 ,通过 智能 客户 端 联 
动 设备 、 安 全 策略 服务 器 以 及 第 三 方 软件 的 联动 ,对 接 入 网 络 的 用 户 终 端 强制 实施 企业 安 
全 策略 ,并 以 用 户 终端 对 企业 安全 策略 的 符合 度 为 条 件 , 控 制 用 户 访问 网 络 的 接 入 权限 和 
对 网 络 的 使 用 行为 ,提高 用 户 终端 的 主动 防御 能 力 ,降低 病毒 .非法 访问 等 安全 威胁 对 网 
络 带 来 的 危害 。EAD 解决 方案 对 终端 用 户 的 控制 过 程 如 图 6-39 所 示 。 


NS 二 及 乒 动 
ss 


身份 认证 安全 认证 动态 授权 
“ 接 入 请 求 合法 用 户 合格 用 户 De 
一 一 0 
i 不 合格 不 同 用 户 赋 
起 有 有 进入 隔离 区 。 了 予 不 同 的 网 
强制 加 固 络 使 用 权限 
Ci 
( 两 区 
ED i 


图 6-39 ”EAD 解决 方案 示意 图 


对 于 需要 接 入 网 络 的 用 户 ,EAD 解决 方案 首先 对 其 进行 身份 认证 ,对 于 未 通过 身份 
认证 的 非法 用 户 将 拒绝 其 接 入 网 络 ; 对 通过 身份 认证 的 合法 用 户 进行 下 一 步 的 安全 认 
证 。 在 安全 认证 部 分 根据 企业 安全 策略 对 用 户 进行 诸如 病毒 库 更 新 情况 、 系 统 补 丁 安装 
情况 等 内 容 的 安全 检查 ,对 于 安全 检查 不 合格 的 用 户 会 被 放 入 隔离 区 进行 强制 加 固 , 直 至 
满足 企业 安全 策略 的 要 求 ; 对 于 安全 检查 合格 的 用 户 进入 下 一 步 的 动态 授权 。 在 动态 授 
权 部 分 对 不 同 的 用 户 赋予 不 同 的 网 络 使 用 权限 ,使 其 可 以 访问 网 络 ,并 在 用 户 访问 网 络 的 
过 程 中 对 其 终端 运行 情况 、 网 络 使 用 情况 等 进行 审计 和 监控 ,及 时 发 现 并 处 理 异常 行为 。 

EAD 解决 方案 组 件 中 包括 智能 客户 端 . 联 动 设备 .安全 策略 服务 器 以 及 第 三 方 服 
务 器 。 

(1) 智能 客户 端 : 智能 客户 端 即 安装 了 H3C iNode 智能 客户 端的 用 户 接 入 终端 , 负 
责 身份 认证 的 发 起 、 安 全 策略 的 检查 以 及 和 安全 策略 服务 器 配合 进行 终端 的 控制 。 

(2) 联动 设备 : 联动 设备 是 网 络 中 安全 策略 的 实施 点 ,起 到 强制 用 户 准 入 认证 ,隔离 
不 合格 终端 ,为 合法 用 户 提供 网 络 服务 的 作用 。 根 据 应 用 场合 的 不 同 ,联动 设备 可 以 是 交 
换 机 、 路 由 器 、VPN 网 关 或 无 线 设备 ,分 别 实现 不 同 认证 方式 (如 IEEE 802. 1x、VPN 和 
Portal 等 ) 的 终端 准 入 控制 。 针 对 多 样 化 的 网 络 ,EAD 提供 了 灵活 多 样 的 组 网 方案 ,联动 
设备 可 以 根据 需要 进行 灵活 部 署 。 

(3) 安全 策略 服务 器 : 安全 策略 服务 器 是 EAD 方案 中 的 管理 与 控制 中 心 , 兼 具 终端 
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用 户 管理 ,安全 策略 管理 ,安全 状态 评估 ,安全 联动 控制 以 及 安全 事件 审计 等 功能 。 

(4) 第 三 方 服务 器 : 即 补丁 服务 器 病毒 服务 器 等 ,被 部 署 在 隔离 区 中 。 当 用 户 通过 
身份 认证 但 安全 认证 失败 时 ,将 被 隔离 到 隔离 区 ,此 时 用 户 能 且 仅 能 访问 隔离 区 中 的 服务 
器 ,通过 第 三 方 服务 器 进行 自身 安全 修复 ,直到 满足 安全 策略 要 求 。 


6.8 模拟 公司 总 部 局 域 网 安全 配置 方案 


在 本 书 模拟 网 络 中 ,AAA 被 设计 用 来 实现 远程 登录 局 域 网 内 交换 机 、 路 由 器 等 网 络 
设备 时 的 集中 身份 验证 ,对 外 连接 记 账 等 。 其 中 ,网 络 中 有 两 台 RADIUS 服务 器 作为 
AAA 主 备 服务 器 ,IP 地 址 分 别 为 200. 100. 8. 29/26 和 200. 100. 8. 30/26; RADIUS 共享 
密 钥 为 "Net&Sec@sjzpc”; 用 户 登录 及 登录 后 的 对 外 网 络 连 接 事件 都 要 有 记 账 记录 ; 为 
防止 无 法 连接 RADIUS 服务 器 导致 的 远程 登录 失败 ,配置 备份 身份 验证 方法 为 local, 并 
为 此 配置 本 地 用 户 名 和 密码 。 

模拟 公司 总 部 2 号 楼 各 部 门 均 有 一 间 以 上 会 议 室 用 于 召开 各 类 临时 会 议 。 由 于 这 些 
会 议 室 的 网 络 接口 所 连接 主机 不 固定 ,无 法 使 用 端口 绑 定 MAC 地 址 的 方式 防止 非 授 权 
的 访问 ,所 以 对 于 这 些 会 议 室 所 连接 的 接 和 人 交换 机 端口 ,需要 通过 配置 IEEE802. 1x 进行 
访问 控制 。 

在 端口 安全 配置 方面 ,由 于 接 人 交换 机 物理 位 置 分 散 , 直 接连 接 用 户主 机 ,最 易 受 到 
MAC 地 址 欺骗 . 泛 洪 攻击 ,因此 在 各 接 人 交换 机 的 接 人 端口 上 均 启 用 端口 安全 特性 。 具 
体 要 求 如 下 。 

(1) 研发 .市场 .售后 等 部 网 络 内 有 大 量 移动 设备 ,因此 其 接 和 人 交换 机 安全 端口 适合 
选用 动态 学 习 安全 MAC 地 址 方式 ; 而 网 络 中 心 ,管理 .生产 等 部 不 应 出 现 大 量 移动 设 
备 , 因 此 其 接 人 交换 机 安全 端口 适合 选用 黏 性 学 习 安 全 MAC 地 址 方式 。 

(2) 为 保证 接 人 交换 机 各 安全 端口 不 会 接 人 未 经 授权 的 交换 机 、 集 线 器 ,各 接 人 交换 
机 安全 端口 的 安全 MAC 地 址 数目 限制 为 1 个 。 

(3) 网 络 中 心 .生产 部 网 络 要 提供 网 络 服务 ,因此 其 接 和 人 交换 机 安全 端口 应 配置 为 限 
制 违 规模 式 , 以 保证 违规 行为 发 生 时 不 会 中 断 网 络 服务 。 管 理 部 要 求 保持 网 络 连接 最 大 
可 靠 性 ,因此 其 接 和 交换 机 安全 端口 也 应 配置 为 限制 违规 模式 ,以 保证 违规 行为 发 生 时 不 
会 中 断 网 络 连接 。 研 发 市场、 售后 等 部 网 络 在 保证 网 络 接 和 灵活 性 同时 安全 风险 更 大 ， 
适宜 采用 关闭 违规 模式 ,提高 网 络 安全 系数 。 

(4) 在 配置 了 安全 端口 关闭 违规 模式 的 交换 机 上 启用 err-disable 计时 器 可 以 在 指定 
时 间 间 隔 内 清除 端口 的 err-disable 状态 ,使 关闭 的 端口 不 需 网 管 员 干预 就 可 以 青 次 启用 ， 
因此 适合 于 研发 .市场 .售后 等 部 网 络 内 接 入 交换 机 。 但 err-disable 计时 器 不 能 清除 配置 
文件 中 的 黏 滞 安全 MAC 地 址 ,因此 不 适 于 管理 部 .网 络 中心 、 生 产 部 等 网 络 中 的 接 入 交 
换 机 。 

(5) 除 全 0 的 MAC 地 址 外 ,各 部 网 络 中 不 应 出 现 的 MAC 地 址 可 根据 实际 情况 
设置 。 

(6) 由 于 各 部 接 入 交换 机 均 设置 了 安全 端口 ,因此 应 配置 单 播 、 多 播 沁 洪 阻塞 减少 不 
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必要 的 流量 。 

在 端口 绑 定 和 DHCP Snooping 方面 ,由 于 DHCP 攻击 、IP 欺骗 攻击 和 ARP 攻击 等 
主要 侵犯 当地 网 络 ,因此 在 模拟 公司 总 部 局 域 网 中 的 接 和 交换机、 汇聚 交换 机 上 ,需要 配 
置 DHCP Snooping 和 IPSG 来 保障 网 络 通信 安全 。 

目前 模拟 公司 总 部 网 络 IP 地 址 分 配 情 况 为 网 络 中 心 所 有 主机 及 设备 均 使 用 静态 IP 
地 址 ; 其 他 各 部 门 网 络 中 的 网 关 、 服 务 器 使 用 静态 IP 地 址 ,普通 主机 使 用 动态 IP 地 址 。 
DHCP 服务 器 连接 在 各 楼 汇聚 交换 机 一 侧 。 

具体 的 配置 要 求 如 下 : 

(1) 除 网 络 中 心 外 ,其 他 各 部 门 网 络 VLAN 中 均 启用 DHCP 监听 ,防止 假冒 DHCP 
响应 报 文 欺骗 需 动态 获得 IP 地 址 的 主机 。 

(2) 由 于 网 络 中 的 服务 器 需要 使 用 静态 IP, 所 以 在 各 接 入 交换 机 上 需要 配置 IP- 
MAC- 端 口 -VLAN 绑 定 信息 ,而 其 他 使 用 DHCP 的 主机 使 用 DHCP 监听 方式 自动 生成 
绑 定 信息 ,同时 对 连接 普通 主机 端口 配置 IPSG 。 

(3) 由 于 DHCP 服务 器 位 于 汇聚 交换 机 一 侧 而 不 是 接 人 交换 机 ,因此 下 连 各 接 和 人 交 
换 机 端口 需 配置 为 不 可 信 DHCP 端口 ,另外 由 于 DHCP 广播 不 能 跨越 网 络 , 因 此 汇聚 交 
换 机 上 连 核心 交换 机 的 端口 需 配置 为 可 信 DHCP 端口 。 

(4) 恶意 用 户 或 感染 了 病毒 或 木马 的 主机 可 能 通过 接 入 端口 攻击 网 络 内 其 他 主机 ， 
因此 连接 各 主机 的 端口 配置 为 DHCP 不 可 信 端 口 。 


6.9 小 结 


随 着 来 自 网 络 内 部 的 攻击 逐渐 增多 ,局域网 安全 在 网 络 安全 中 扮演 着 越 来 越 重 要 的 
角色 。 为 防范 以 内 网 主机 为 跳板 的 各 种 攻击 ,在 局 域 网 安全 中 引入 了 各 种 终端 接 入 控制 
技术 ,包括 AAA 技术 、IEEE 802. 1x 技术 、 端 口 安全 技术 .端口 绑 定 技术 以 及 DHCP 
Snooping 技术 等 ,每 一 种 技术 分 别 从 诸如 终端 用 户 身 份 认证 、IP 地 址 和 MAC 地 址 认证 
等 不 同 的 方面 对 终端 用 户 的 接 入 进行 安全 审查 和 访问 限制 ,以 期 保障 内 部 网 络 的 安全 。 
本 章 对 常见 的 局 域 网 安全 技术 的 原理 和 配置 实现 分 别 进行 了 介绍 ,并 给 出 了 模拟 公司 总 
部 局 域 网 的 安全 配置 方案 。 


6. 10 习题 


1. AAA 技术 中 的 三 个 A 分 别 代表 什么 意思 ? 

2. RADIUS 使 用 传输 层 哪个 协议 的 哪 两 个 端口 进行 认证 .授权 和 计 费 ? 〈 ) 
A. TCP 1645 和 1646 B. UDP 1645 和 1646 
C. TCP 1812 和 1813 D. UDP 1812 和 1813 

3. 简 述 受 控 端 口 和 非 受 控 端 口 之 间 的 关系 以 及 其 各 自 的 作用 。 

4. 什么 是 PAE? 设备 端 PAE 和 客户 端 PAE 的 作用 分 别 是 什么 ? 

5. EAP 信息 在 RADIUS 报 文中 的 承载 有 哪 两 种 方式 ?” 其 区 别 是 什么 ? 


2 人 
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. 在 端口 安全 技术 中 ,Intrusion Protection 特性 的 作用 是 什么 ? 

.端口 绑 定 的 目的 是 什么 ? 

. 在 DHCP Snooping 中 ,交换 机 如 何 获得 端口 的 动态 绑 定 信息 ? 
. 在 EAD 中 ,联动 设备 一 般 是 什么 设备 ?其 作用 是 什么 ? 


oN 


6.11 实 训 


6.11.1 RADIUS 配置 及 验证 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 4 人 。 


1. 实验 目的 

(1) 掌握 RADIUS 服务 器 的 配置 。 

(2) 掌握 RADIUS 客户 端的 RADIUS 方案 配置 和 AAA 域 配置 。 
(3) 理解 RADIUS 的 工作 原理 和 工作 流程 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 5 台 
(2) 路 由 器 : 4 台 

(3) 三 层 交 换 机 : 1 台 

(4) UTP 电缆 : 10 条 

(5) Console 电缆 : 5 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 


3. 实验 内 容 
(1) 配置 RADIUS 服务 器 。 
(2) 配置 RADIUS 客户 端 。 


4. 实验 指导 

(1) 按照 图 6-40 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 其 中 交换 机 SWA 与 
路 由 器 RTA .RTB、RTC 和 RTD 分 别 使 用 接口 E1/0/1、E1/0/2、E1/0/3 和 E10/4 相连 。 

(2) 按照 图 6-40 所 示 为 路 由 器 ,交换 机 和 PC 配置 IP 地 址 ,其 中 路 由 器 的 E0/0 接口 
使 用 相应 网 段 中 的 最 后 一 个 可 用 地 址 ,PC 一 PC, 使 用 相应 网 段 中 第 一 个 可 用 地 址 ; 路 由 
器 的 E0/1 接口 和 相连 的 交换 机 SWA 的 接口 分 别 使 用 相应 网 段 仅 有 的 第 一 个 可 用 地 址 
和 第 2 个 可 用 地 址 。 在 4 台 路 由 器 和 交换 机 SWA 上 配置 RIPv2 ,在 交换 机 SWA 上 配置 
默认 路 由 并 将 其 引入 到 RIPv2 中 ,保障 整个 网 络 的 联通 性 。 

H3C 设备 参考 命令 如 下 : 

[RTA]interface Ethernet 0/0 

[RTA-Ethernet0/0]ip address 10.x.1.30 27 


[RTA-Etherneto/o]quit 
[RTAJ]interface Ethernet 0/1 
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三 10.x.1.0/27 


PC; 10.x.1.164/30 


10.x.1.160/30 


E1/0/24:10.0.x.2/24 
E1/0/23:10.x.1.158/27 


四 10.x.1.128/27 
10.x.1.172/30 
RADIUS 服务 器 


EO/1 10.0.x.129/27 


图 6-40 RADIUS 配置 及 验证 实 训 


[RTA-Ethernet0/1]ip address 10.x.1.161 30 
[RTA-Ethernet0/1]quit 

[RTAJrip 

[RTA-rip-1] version 2 

[RTA-rip-1] undo summary 

[RTA-rip-1]network 10.0.0.0 

二 其 他 3 台 路 由 器 配置 略 一 一 一 

SWA |]interface Ethernet 1/0/1 
SWA-Ethernet1/0/1] port link-mode route 
SWA-Ethernet1/0/1]ip address 10. x.1.162 30 
SWA-Ethernet1/0/1]quit 

ee 接口 Ethernet 1/0/2、Ethernet 1/0/3、Ethernet 1/0/4、Ethernet 1/0/23 和 Ethernet 1/0/24 配 
置 略 一 一 

[SWA]ip route-static 0.0.0.0 0 10.0.x.1 
[SWAJrip 

[SWA-rip-1] version 2 

[SWA-rip-l1] undo summary 
[SWA-rip-l]network 10.0.0.0 

[SWA-rip-1] default-route originate 


Cisco 设备 参考 命令 如 下 


RTA(config) # interface FastEthernet 0/0 

RTA(config-if) # ip address 10. x.1.30 255.255.255.224 
RTA(config-if) # no shutdown 

RTA(config-if) # exit 

RTA(config) # interface FastEthernet 0/1 

RTA(config-if) #ip address 10.x.1.161 255.255.255.252 
RTA(config-if) # no shutdown 

RTA(config-if) # exit 

RTA(config) # router rip 
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RTA(config-router) # version 2 
RTA(config-router) # no auto-summary 
RTA(config-router) # network 10.0.0.0 
一 一 其 他 3 台 路 由 器 配置 略 一 一 一 


SWA(config) # interface FastEthernet 0/1 

SWA(config-if) # no switchport 

SWA(config-if) # ip address 10. x.1.162 255.255.255.252 
SWA(config-if) # exit 

一 一 接口 FastEthernet 0/2、FastEthernet 0/3、FastEthernet 0/4、FastEthernet 0/23 和 FastEthernet 
0/24 配置 略 一 一 

SWA(config) # ip routing 

SWA(config) #ip route 0.0.0.0 0.0.0.0 10.0.x.1 
SWA(config) # router rip 

SWA(config-router) # version 2 

SWA(config-router) # no aut 

SWA(config-router) # no auto-summary 
SWA(config-router) # network 10.0.0.0 
SWA(config-router) # default-information originate 


配置 完成 后 ,4 台 PC 和 RADIUS 服务 器 之 间 互 相 可 以 ping 通 , 并 且 均 可 以 连接 外 
部 网 络 。 

(3) 配置 RADIUS 服务 ,使 PC 在 远程 登录 4 台 路 由 器 时 使 用 RADIUS 进行 认证 、 
授权 和 计 费 。4 台 路 由 器 与 RADIUS 服务 器 之 间 的 共享 密 钥 均 为 testing123 ,4 台 路 由 器 
上 的 AAA 域名 以 及 用 户 登 录 使 用 的 用 户 名 和 密码 如 表 6-6 所 示 。 


表 6-6 RADIUS 认证 用 户 名 、 密 码 和 AAA 域名 


AAA 域名 用 户 名 密码 
RTA network-a routera T 十 a_sl 
RTB network-b routerb r+b_s2 
RTC network-c Touterc rte ss 
RTD network-d routerd r+d_s4 


Q@ 配置 RADIUS 服务 器 。 

在 作为 RADIUS 服务 器 的 PC 上 安装 FreeRADIUS. net 软件 。 安 装 完毕 后 ,到 C:\ 
FreeRADIUS. net\etc\raddb 目录 下 ,找到 配置 文件 clients. conf ,使 用 写字 板 打开 ,并 在 
文件 末尾 添加 配置 信息 如 下 : 


client 10.x.1.0/24 { 
secret = testing123 
shortname = H3C 
上 
注意 : 在 这 里 RADIUS 客户 端的 IP 地 址 被 设置 为 一 个 地 址 范围 10. x. 1. 0/24 ,只 要 
RADIUS 服务 器 接收 到 的 RADIUS 请 求 中 的 NAS-IP 处 于 该 地 址 范围 内 ,请 求 就 会 被 处 
理 ; 另外 ,shortname 的 名 称 可 以 是 任意 值 。 
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在 C:\FreeRADIUS. net\etc\raddb 目录 下 ,找到 配置 文件 users. conf, 使 用 写字 板 
打开 ,并 在 文件 开始 位 置 添加 配置 信息 如 下 : 

routera@network-a User-Password == "r+a_sl" 

routerb@network-b User-Password = 

routerc@network-c User-Password = 

routerd@network-d User-Password 一 一 "r 十 d_s4" 

注意 ; 如 果 路 由 器 为 Cisco 设备 , 则 配置 文件 users. conf 中 的 用 户 名 均 不 携带 域名 

配置 完成 后 ,重新 启动 FreeRADIUS 服务 ,然后 在 RADIUS 服务 器 上 使 用 netstat - an 
命令 查看 当前 的 活动 端口 ,应 该 可 以 看 到 UDP 的 1812 和 1813 端口 处 于 监听 状态 。 

@ 配置 RADIUS 客户 端 。 

在 此 以 路 由 器 RTA 为 例 进行 配置 ,H3C 设备 参考 命令 如 下 : 


[RTA]telnet server enable 

[RTA] user-interface vty 0 4 

[RTA-ui-vty0-4] authentication-mode scheme 
[RTA-ui-vty0-4] quit 

[RTA]radius scheme tel 

[RTA-radius-tel] primary authentication 10.x.1.129 
[RTA-radius-tel] primary accounting 10. x.1.129 
[RTA-radius-tel] nas-ip 10. x.1.161 
[RTA-radius-tel] key authentication testing123 
[RTA-radius-tel] key accounting testing123 
RTA-radius-tel] user-name-format with-domain 
RTA-radius-tel] server-type standard 
RTA-radius-tel] quit 


RTA]domain network-a 


RTA-isp-network-a]authorization login radius-scheme tel 
RTA-isp-network-a]accounting login radius-scheme tel 
RTA-isp-network-a]accounting optional 


RTA-isp-network-a] quit 


[RTA-isp-network-a]authentication login radius-scheme tel 


RTA]domain default enable network-a 


注意 : nas-ip 配置 的 是 路 由 器 靠近 RADIUS 服务 器 的 接口 E0/1 的 IP 地址 ,该 地 址 
应 包含 在 RADIUS 服务 器 上 的 配置 文件 clients. conf 中 定义 的 RADIUS 客户 端 IP 地 址 
范围 中 。 

Cisco 设备 参考 命令 如 下 : 

RTA(config) # aaa new-model 


RTA(config) # radius-server host 10.x.1.129 auth-port 1812 acct-port 1813 
RTA(config) # radius-server key testing123 
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RTA(config) # aaa authentication login tel-authen group radius 
RTA(config) # aaa accounting connection tel-acc start-stop group radius 


RTA(config) #1line vty 0 4 


RTA(config-line) # login authentication tel-authen 
RTA(config-line) # accounting connection tel-acc 


路 由 器 RTB、RTC、RTD 的 配置 与 路 由 器 RTA 的 配置 类 似 , 在 此 不 再 袭 述 。 

配置 完成 后 ,在 PC 一 PC, 上 分 别 在 命令 行 模式 下 使 用 Telnet 命令 远程 登录 4 台 路 
由 器 ,同时 在 RADIUS 服务 器 上 打开 Wireshark 软件 捕获 数据 包 。 此 时 4 台 PC 使 用 相 
应 的 用 户 名 和 密码 应 该 都 可 以 登录 到 4 台 路 由 器 。 

对 RADIUS 服务 器 上 捕获 的 RADIUS 数据 报 文 进行 分 析 , 查 看 报 文中 的 相关 属性 ， 


理解 RADIUS 的 认证 、 授 权 和 计 费 流程 。 


在 RADIUS 服务 器 上 的 C:\FreeRADIUS. net\var\log\radius\radacct 目录 下 ,找到 
四 个 分 别 以 NAS 的 IP 地 址 命名 的 文件 夹 ,每 个 文件 夹 下 存在 3 个 .log 文件 ,用 写字 板 打 


开 对 其 内 容 进 行 分 析 。 
5. 实验 报告 

RADIUS 服务 clients. conf 的 配置 

器 配置 users. conf 的 配置 
VTY 的 配置 

RTA RADIUS 方案 的 配置 
AAA 域 的 配置 
VTY 的 配置 

RTB RADIUS 方案 的 配置 
AAA 域 的 配置 
VTY 的 配置 

RTC RADIUS 方案 的 配置 
AAA 域 的 配置 
VTY 的 配置 

RTD RADIUS 方案 的 配置 
AAA 域 的 配置 


Wireshark 捕获 的 RADIUS 报 文 类 型 


RADIUS 如 何 区 分 计 费 开始 请 求 包 和 计 费 


结束 请 求 包 ? 


在 PC 上 远程 登录 路 由 器 时 ,输入 的 用 户 名 
是 否 需要 携带 AAA 域名 信息 ? 为 什么 ? 


6.11.2 IEEE 802. 1x 配置 及 验证 实 训 


实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 4 人 。 


1. 实验 目的 


(1) 掌握 IEEE 802. 1x 认证 服务 器 的 配置 。 
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(2) 掌握 IEEE 802. 1x 设备 端的 配置 。 


(3) 掌握 IEEE 802. 1x 客户 端的 配置 。 
(4) 理解 IEEE 802. 1x 认证 的 工作 原理 和 工作 流程 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 5 台 
(2) 二 层 交 换 机 : 2 台 

(3) 三 层 交 换 机 : 1 台 

(4) UTP 电缆 : 8 条 

(5) Console 电缆 : 3 条 

保持 所 有 的 交换 机 均 为 出 厂 配置 。 


3. 实验 内 容 

(1) 配置 IEEE 802. 1x 认证 服务 器 。 
(2) 配置 IEEE 802. 1x 设备 端 。 

(3) 配置 IEEE 802. 1x 客户 端 。 


4. 实验 指导 
(1) 按照 图 6-41 所 示 的 网 络 拓扑 结构 搭建 网 络 , 完 成 网 络 连 接 。 


SWA 


PC! E10/ 
10.x.1.2/24 E1/0/2 


E1/0/24 


Vlan1:10.x.1.1/24 


E1/0/24:10.0.x.2/24 
E1/0/23:10.x.3.254/24 


E1/0/1:10.x.1.254/24 


PC, 
10.x.1.3/24 E1/0/2:10.x.2.254/24 


PC 

10x2204 El 
Vlan1:10.x.2.1/24 PADIUS 服 务 器 
10.x.3.1/24 

PC4 

10.x.2.3/24 
6-41 IEEE 802. 1x 配置 及 验证 实 训 
(2) 按照 图 6-41 所 示 为 3 台 交换 机 和 PC 配置 IP 地 址 ,并 在 3 台 交换 机 上 配置 默认 


路 由 ,实现 整个 网 络 的 联通 性 。 配 置 完成 后 ,4 台 PC 和 RADIUS 服务 器 之 间 互 相 可 以 
ping 通 , 并 且 均 可 以 连接 外 部 网 络 。 

(3) 配置 IEEE 802. 1x 远 端 认 证 ,认证 方法 使 用 EAP 终结 方式 中 的 CHAP 认证 方 
法 ,使 PC 一 PC, 需要 通过 认证 才 可 以 访问 外 部 网 络 。 交 换 机 SWA 和 SWB 上 配置 的 AAA 
域名 .与 RADIUS 服务 器 之 间 的 共享 密 钥 以 及 客户 端 使 用 的 用 户 名 和 密码 如 表 6-7 所 示 。 
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表 6-7 AAA 域名 .共享 密 钥 ,用户 名 和 密码 


| ”AAA 域 名 | ”共享 密 钥 ”| ”用 户 名 | 密码 
SWA network-a keyl123 switcha s 十 a_sl 
SWB network-b testing123 Switchb s 十 b_s2 


QO@ 配置 RADIUS 服务 器 。 在 作为 RADIUS 服务 器 的 PC 上 安装 FreeRADIUS. net 
软件 。 安 装 完毕 后 ,到 C:\FreeRADIUS. net\etc\raddb 目录 下 ,找到 配置 文件 clients. 
conf, 使 用 写字 板 打开 ,并 在 文件 末尾 添加 配置 信息 如 下 : 


client 10.x.1.1/24 { 
secret = keyl23 
shortname = SWA 

} 

client 10.x.2.1/24 { 
secret = testing123 
shortname = SWB 

} 


在 C:\FreeRADIUS. net\etc\raddb 目录 下 ,找到 配置 文件 users. conf ,使 用 写字 板 
打开 ,并 在 文件 开始 位 置 添加 配置 信息 如 下 : 


switcha@network-a User-Password 一 一 "s 十 a_sl" 
switchb@network-b User-Password 一 一 "s+b_s2" 
注意 : 如 果 交 换 机 为 Cisco 设备 , 则 配置 文件 users. conf 中 的 用 户 名 均 不 携带 域名 


配置 完成 后 ,重新 启动 FreeRADIUS 服务 ,然后 在 RADIUS 服务 器 上 使 用 netstat - 
an 命令 查看 当前 的 活动 端口 ,应 该 可 以 看 到 UDP 的 1812 和 1813 端口 处 于 监听 状态 。 
@ 配置 设备 端 。 在 此 以 交换 机 SWA 为 例 进 行 配 置 ,H3C 设备 参考 命令 如 下 : 


[SWA]dotlx 

[SWAJ]undo dotlx handshake enable 

[SWA Jinterface Ethernet 1/0/1 
[SWA-Ethernetl/0/1]dotlx 

[SWA-Ethernetl/0/1] quit 

[SWA Jinterface Ethernet 1/0/2 
[SWA-Ethernetl/0/2]dotlx 

[SWA-Ethernetl/0/2] quit 

[SWA]radius scheme lan-acc 

[SWA-radius-lan-acc] primary authentication 10.x.3.1 1812 
[SWA-radius-lan-acc | primary accounting 10.x.3.1 1813 
[SWA-radius-lan-acc]jnas-ip 10.x.1.1 
[SWA-radius-lan-acc]key authentication key123 
[SWA-radius-lan-acc]key accounting key123 
[SWA-radius-lan-acc | user-name-format with-domain 
[SWA-radius-lan-acc| server-type standard 
[SWA-radius-lan-acc] quit 

[SWA]domain network-a 


第 6 章 局 域 网 安全 


[SWA-isp-network-a]authentication radius-scheme lan-acc 
[SWA-isp-network-a]accounting radius-scheme lan-acc 
[SWA-isp-network-a] accounting optional 
[SWA-isp-network-a] quit 

[SWA]domain default enable network-a 


Cisco 设备 参考 配置 如 下 : 


SWA(config) # aaa new-model 

SWA(config) # radius-server host 10.x.3.1 auth-port 1812 acct-port 1813 
SWA(config) # radius-server key keyl23 

SWA(config) # aaa authentication dotlx default group radius 
SWA(config) # dotlx system-auth-control 

SWA(config) # interface FastEthernet 0/1 

SWA(config-if) # switchport mode access 

SWA(config-if) # dotlx port-control auto 

SWA(config-if) # dotlx pae authenticator 

SWA(config-if) # exit 

SWA(config) # interface FastEthernet 0/2 

SWA(config-if) # switchport mode access 

SWA(config-if) # dotlx port-control auto 

SWA(config-if) # dotlx pae authenticator 


@ 配置 客户 端 。 客 户 端 使 用 Windows XP 自 带 的 客户 端 软件 或 者 使 用 H3C 的 
iNode 客户 端 软件 均 可 ,具体 的 配置 方法 请 参考 6. 3. 3 小 节 。 

配置 完成 后 ,在 PC, 一 PC, 上 分 别 在 客户 端 软件 中 输入 用 户 名 和 密码 ,启动 IEEE 
802. 1x 认证 过 程 ,同时 在 4 台 PC 和 RADIUS 服务 器 上 开启 Wireshark 捕获 数据 报 文 。 

认证 成 功 后 ,PC 一 PC, 即 可 访问 外 部 网 络 资源 。 

对 比 PC 一 PC, 上 捕获 的 EAPOL 报 文 和 RADIUS 服务 器 上 捕获 的 RADIUS 报 文 ， 
查看 EAP-Request/ MD5-Challenge 报 文 和 EAP-Response/MD5-Challenge 报 文中 
Value 属性 的 值 以 及 RADIUS Access-Request 报 文中 的 CHAP-Password 和 CHAP- 
Challenge 属性 的 值 ,理解 EAP 终结 方式 的 认证 流程 。 


5. 实验 报告 
RADIUS 服务 | clients. conf 的 配置 
器 配置 users. conf 的 配置 
IEEE 802. 1x 的 配置 
SWA RADIUS 方案 的 配置 
AAA 域 的 配置 
IEEE 802. 1x 的 配置 
SWB RADIUS 方案 的 配置 
AAA 域 的 配置 
EAP-Request/ MD5-Challenge RADIUS Access-Request 报 
PC, 认证 报 文 Value 的 值 文 CHAP-Challenge 的 值 
EAP-Response/ MD5-Challenge RADIUS Access-Request 报 
报 文 Value 的 值 文 CHAP-Password 的 值 
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续 表 
EAP- Request/ MD5-Challenge RADIUS Access-Reaucst 报 
PC, 认证 报 文 Value 的 值 文 CHAP-Challenge 的 值 
EAP-Response/ MD5-Challenge RADIUS Access-Request 报 
报 文 Value 的 值 文 CHAP-Password 的 值 
EAP-Request/ MD5-Challenge RADIUS Access-Request 报 
PC, 认证 报 文 Value 的 值 文 CHAP-Challenge 的 值 
EAP-Response/ MD5-Challenge RADIUS Access-Request 报 
报 文 Value 的 值 文 CHAP-Password 的 值 
EAP-Request/ MD5-Challenge RADIUS Access-Request 报 
PC, 认证 报 文 Value 的 值 文 CHAP-Challenge 的 值 
EAP-Response/ MD5-Challenge RADIUS Access-Request 报 
报 文 Value 的 值 文 CHAP-Password 的 值 


6.11.3 端口 安全 与 端口 绑 定 配置 及 验证 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 4 人 。 
1. 实验 目的 
(1) 掌握 端口 安全 的 配置 和 验证 方法 。 
(2) 掌握 端口 绑 定 的 配置 和 验证 方法 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 5 台 
(2) 二 层 交换 机 : 2 台 

(3) 三 层 交换 机 : 1 台 

(4) UTP 电缆 : 8 条 

(5) Console 电缆 : 2 条 

保持 所 有 的 交换 机 均 为 出 厂 配置 。 


3. 实验 内 容 
(1) 配置 端口 安全 功能 。 
(2) 配置 IP 地址 .MAC 地址 与 端口 的 绑 定 。 


4. 实验 指导 

(1) 按照 图 6-42 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 

(2) 按照 图 6-42 所 示 为 5 台 PC 配置 IP 地 址 ,网 关 均 为 10. 0. x. 1。 配 置 完 成 后 ， 
PC 一 PC, 均 可 以 连接 外 部 网 络 。 

(3) 在 交换 机 SWA 和 SWB 上 启用 端口 安全 功能 ,将 两 台 交 换 机 上 的 端口 
Ethernet1/0/1 和 Ethernetl/0/2 配置 为 最 多 允许 两 个 用 户 接 人 ; 配置 端口 的 安全 模式 为 
autolearn; 配置 Intrusion Protection 特性 为 暂时 关闭 端口 ,关闭 时 间 为 30s。 在 此 以 交换 
机 SWA 为 例 进行 配置 ,H3C 设备 参考 命令 如 下 : 


[SWA]port-security enable 
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PC! EIO1 
10.0.x.2/24 E1/0/2 


De J | 
10.0.x.3/24 


PCs 
10.0.x.6/24 
SWB 


E1/0/24 


E1/0/1 


PC; El/02 
10.0.x.4/24 


E1/0/24 


PC4 
10.0.x.5/24 


图 6-42 端口 安全 与 端口 绑 定 配置 及 验证 实 训 


[SWA]interface Ethernet 1/0/1 

[SWA-Ethernet1/0/1]port-security max-mac-count 2 
[SWA-Ethernet1/0/1]port-security port-mode autolearn 
[SWA-Ethernetl1/0/1] port-security intrusion-mode disableport-temporarily 
[SWA-Ethernet1/0/1]quit 

[SWA]interface Ethernet 1/0/2 

[SWA-Ethernet1/0/2]port-security max-mac-count 2 
[SWA-Ethernet1/0/2] port-security port-mode autolearn 
[SWA-Ethernetl/0/2] port-security intrusion-mode disableport-temporarily 
[SWA-Ethernet1/0/2] quit 

[SWA]port-security timer disableport 30 


Cisco 设备 参考 命令 如 下 : 


SWA(config) # interface range FastEthernet 0/1 - 2 
SWA(config-if-range) # switchport mode access 
SWA(config-if-range) # switchport port-security 
SWA(config-if-range) # switchport port-security maximum 2 
SWA(config-if-range) # switchport port-security mac-address sticky 
SWA(config-if-range) # switchport port-security violation shutdown 
SWA(config-if-range) # exit 

SWA(config) # errdisable recovery cause psecure-violation 
SWA(config) # errdisable recovery interval 30 


配置 完成 后 ,在 PC ~~PC, 上 使 用 ping 命令 连接 外 部 网 络 , 使 交换 机 的 相应 端口 可 
以 学 习 到 PC 的 MAC 地 址 。 然 后 分 别 在 交换 机 SWA 和 SWB 上 使 用 display port- 
security 或 者 show port-security 命令 查看 相应 端口 安全 配置 信息 ,使 用 display mac- 
address security、display port-security mac-address security 或 者 show port-security 


address 命令 查看 交换 机 学 习 到 的 安全 MAC 地 址 的 信息 。 
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将 PC! 和 PC; 互 换 端口 ,将 PC 和 PC, 互 换 端口 ,然后 在 PC 一 PC, 上 使 用 ping 命 
令 连 接 外 部 网 络 ,发 现 4 台 PC 均 无 法 连接 外 部 网 络 ,在 交换 机 SWA 和 SWB 上 使 用 
display port-security 或 者 show port-security 命令 查看 相应 的 端口 安全 配置 信息 ,会 发 现 
端口 状态 为 link-up, 端 口 的 安全 模式 依然 为 autolearn ,学 习 到 的 安全 MAC 地 址 数 也 依 
然 为 1; 使 用 display mac-address security、display port-security mac-address security 或 
者 show port-security address 命令 查看 交换 机 学 习 到 的 安全 MAC 地 址 信息 ,会 发 现在 
相应 的 端口 上 并 不 会 学 习 到 后 连接 PC 的 MAC 地 址 ,例如 ,在 交换 机 SWA 的 端口 
Ethernet1/0/1 上 不 会 学 习 到 PC; 的 MAC 地 址 。 这 是 因为 在 同一 个 VLAN 中 ,一 个 安 
全 MAC 地 址 只 能 被 添加 到 一 个 端口 上 ,由 于 PC; 的 MAC 地 址 已 经 被 交换 机 SWA 的 端 
口 Ethernet1/0/2 学 习 到 ,因此 端口 Ethernet1/0/1 将 不 会 再 将 PC* 的 MAC 地 址 添加 到 
自己 的 安全 MAC 地 址 中 。 

将 PC, 和 PC; 分 别 连接 到 交换 机 SWB 的 Ethernet1/0/1 和 Ethernet1/0/2 端口 上 ， 
将 PCs 和 PC, 分 别 连接 到 交换 机 SWA 的 Ethernet1/0/1 和 Ethernet1/0/2 端口 上 ,然后 
在 PC,~~PC, 上 使 用 ping 命令 连接 外 部 网 络 , 此 时 发 现 4 台 PC 均 可 以 连接 外 部 网 络 。 
在 交换 机 SWA 和 SWB 上 使 用 display port-security 或 者 show port-security 命令 查看 相 
应 的 端口 安全 配置 信息 ,会 发 现 端口 的 安全 模式 变 为 secure, 学 习 到 的 安全 MAC 地 址 数 
变 为 2; 使 用 display mac-address security display port-security mac-address security 或 
者 show port-security address 命令 查看 交换 机 学 习 到 的 安全 MAC 地 址 信息 ,会 发 现 相 
应 端口 学 习 到 了 现在 连接 PC 的 MAC 地 址 。 

将 PC; 连接 到 交换 机 SWA 或 SWB 上 的 Ethernet1/0/1 或 Ethernet1/0/2 端口 ,并 
在 PC; 上 使 用 ping 命令 连接 外 部 网 络 ,会 发 现 PCs 无 法 连接 外 部 网 络 。 使 用 display 
port-security 或 者 show port-security 命令 查看 相应 的 端口 安全 配置 信息 ,会 发 现 端口 状 
态 变 为 link-down。 将 原来 的 PC 重新 连接 到 相应 的 端口 ,会 发 现 经 过 30s 以 后 端口 将 重 
新 回 到 UP 状态 。 

(4) 将 交换 机 SWA 和 SWB 重新 启动 以 清空 端口 安全 的 配置 ,将 网 络 物理 连接 恢复 
到 图 6-41 所 示 的 连接 状态 。 

(5) 在 交换 机 SWA 和 SWB 的 端口 Ethernet1/0/1 和 Ethernet1/0/2 上 分 别 绑 定 所 
连接 PC 的 IP 地址 和 MAC 地 址 。H3C 设备 参考 命令 如 下 : 


[SWAj]interface Ethernet 1/0/1 

[SWA-Ethernetl/0/1]am user-bind mac-addr 90fb-a63b-7888 ip-addr 10.0.x.2 
[SWA-Ethernetl/0/1] quit 

[SWAjinterface Ethernet 1/0/2 

[SWA-Ethernetl/0/2]am user-bind mac-addr 90fb-a63b-ae6a ip-addr 10.0.x.3 


[SWB]interface Ethernet 1/0/1 

[SWB-Ethernet1/0/1]user-bind ip-address 10.0.x.4 mac-address 90fb-a63b-ae36 
[SWB-Ethernet1/0/1]quit 

[SWB]interface Ethernet 1/0/2 

[SWB-Ethernetl/0/2] user-bind ip-address 10.0.x.5 mac-address 90fb-a63b-1d12 
// 注 意 : 以 上 配置 中 的 MAC 地 址 需要 根据 实际 PC 的 MAC 地 址 做 出 修改 
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Cisco 设备 参考 命令 如 下 : 


SWA(config) #ip source binding 90fb.a63b.7888 vlan 1 10.0.x.2 interface FastEthernet 0/1 
SWA(config) # ip source binding 90fb.a63b.ae6a vlan 1 10.0.x.3 interface FastEthernet 0/2 


SWB(config) # ip source binding 90fb.a63b.ae36 vlan 1 10.0.x.4 interface FastEthernet 0/1 

SWB(config) # ip source binding 90fb.a63b.ae6a vlan 1 10.0.x.5 interface FastEthernet 0/2 

// 注 意 : 以 上 配置 中 的 MAC 地 址 需要 根据 实际 PC 的 MAC 地 址 做 出 修改 

配置 完成 后 ,使 用 display am user-bind、 display user-bind 或 者 show ip source 
binding 命令 查看 相应 的 端口 绑 定 信息 。 

此 时 ,在 PC 一 PC, 上 使 用 ping 命令 均 可 以 连接 外 部 网 络 。 将 PC, 和 PCs 互 换 端 
口 ,将 PC 和 PC, 互 换 端口 ,再 次 使 用 ping 命令 连接 外 部 网 络 ,会 发 现 4 台 PC 均 无 法 连 
接 外 部 网 络 ,从 而 验证 了 端口 绑 定 的 作用 。 


5. 实验 报告 
SWA 的 配置 
SWB 的 配置 
端口 安全 PCi/PC; 与 PC:/PC，| PC 能 否 连 接 外 部 网 络 端口 能 否 学 习 到 新 MAC 地 址 
互 换 端 口 分 析 原 因 
PCs 能 否 连接 外 部 网 络 端口 状态 
PCs 口 
连接 到 某 端 分 本 原因 
SWA 的 配置 
SWB 的 配置 


端口 绑 定 


PCi/PC; 与 PC*/PC,， |PC 能 否 连接 外 部 网 络 
互 换 端口 分 析 原 因 
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本 章 任务 : 根据 工程 任务 安全 需求 分 析 ,解决 计 算 机 网 络 的 管理 问题 。 
必 备 知识 : (1) 网 络 管理 体系 架构 。 

(2) SNMP 协议 。 

(3) 网 络 配置 管理 。 

(4) 网 络 故障 管理 。 

(5) 网 络 安全 管理 。 

(6) 网 络 性 能 管理 。 

(7) 网 络 计 费 管理 。 
学 习 目标 : 完成 模拟 公司 总 部 局 域 网 的 网 络 管理 任务 。 


7.1 模拟 公司 网 络 管理 任务 分 析 


由 于 模拟 公司 大 部 分 生产 ,办公 系统 依赖 于 公司 的 计算 机 网 络 ,因此 对 网 络 进行 有 效 管 
理 , 保 障 网 络 安全 ,可靠 .高效 运行 非常 重要 。 模 拟 公 司 网 络 管理 任务 主要 包括 以 下 几 点 。 

(1) 在 相关 网 络 管理 软件 协助 下 ,及 时 了 解 网 络 拓扑 结构 的 变化 ,包括 网 络 内 路 由 
器 、 三 层 交 换 机 、 接 人 层 交 换 机 之 间 , 与 其 他 设备 之 间 的 物理 连接 关系 ,局 域 网 划分 、 
VLAN 划分 等 。 

(2) 在 相关 网 络 管理 软件 协助 下 ,及 时 检测 广域网 线路 各 条 线路 的 流量 ,统计 过 去 任 
何 一 段 时 间 ,任何 一 条 线路 的 输入 .输出 ,总 流量 以 及 丢 包 率 、 错 包 率 ; 以 实时 更 新 的 流量 
统计 方式 对 网 络 流量 状况 进行 监测 ; 能 统计 各 线路 丢 包 率 、 错 包 率 ,为 线路 性 能 的 分 析 提 
供 科学 依据 。 

(3) 在 相关 网 络 管理 软件 协助 下 ,及 时 发 现 网 络 故障 发 生 点 。 记 录 网 络 设备 .线路 、 
终端 ,病毒 ,非法 和 网、 违规 操作 、 相 关 告警 设置 等 各 种 严重 和 一 般 告 警 信息 。 

(4) 在 相关 网 络 管理 软件 协助 下 ,进行 设备 的 配置 管理 。 

(5) 在 相关 网 络 管理 软件 协助 下 ,进行 日 志 管 理 ,分 门 别 类 记录 网 络 的 各 种 故障 ; 对 
网 络 的 各 类 运行 情况 进行 统计 ,掌握 网 络 动 态 。 

(6) 在 相关 网 络 管理 软件 协助 下 ,进行 安全 管理 。 例 如 ,对 使 用 Internet 线路 的 网 络 
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连接 使 用 加 密 技术 进行 保护 ,定期 对 网 络 进行 安全 审计 等 。 


7.2 ”网络 管理 技术 基础 


随 着 网 络 技术 的 发 展 和 网 络 规模 的 不 断 扩大 ,传统 上 的 网 络 管理 员 对 网 络 设备 进行 
分 布 式 手工 管理 的 网 络 管理 方式 已 经 无 法 满足 网 络 管理 的 需求 。 网 络 管理 技术 通过 对 网 
络 管理 的 标准 、 功 能 以 及 体系 结构 进行 定义 ,由 基于 网 络 管理 标准 开发 的 网 络 管理 系统 为 
大 中 型 网 络 中 的 网 络 设备 提供 统一 的 管理 平台 ,实现 对 网 络 的 集中 维护 .远程 监控 等 功 
能 ,从 而 提高 网 络 管理 的 效率 ,实现 智能 化 的 网 络 管理 。 
7.2.1 网 络 管理 的 功能 

网 络 管理 就 是 通过 对 网 络 的 运行 状态 进行 检测 和 控制 ,使 其 能 够 有 效 、 可 靠 、 安 全 和 
经 济 地 运行 。 国 际 标准 化 组 织 (International Organization for Standardization ,ISO) 在 
ISO/IEC 7498-4 文档 中 将 网 络 管理 的 功能 划分 为 5 个 方面 ,分 别 是 故障 管理 (Fault 
Management)、 配 置 管理 (Configuration Management)、 计 费 管 理 (Accounting 
Management) ,性 能 管理 (Performance Management) 
和 安全 管理 (Security Management) ,简称 为 FCAPS， x dy 
如 图 7-1 所 示 。 中 2 


1. 故障 管理 
故障 管理 通过 对 网 络 中 的 故障 进行 检测 、 隔 离 、 报 
告 和 修复 来 保障 网 络 组 件 的 稳定 性 .可 用 性 和 可 服务 


性 。 故障 管理 通过 检测 网 络 中 的 异常 事件 来 发 现 故 
障 ; 通过 日 志 来 记录 故障 的 情况 ; 根据 故障 的 现象 采 
取 相应 的 跟踪 .诊断 和 测试 措施 ,进而 修复 故障 。 故 障 


管理 包含 的 典型 功能 如 下 : 图 7-1 网 络 管理 功能 划分 
(1) 检测 被 管 设备 的 故障 现象 ,接收 被 管 设 备 的 故 
障 事件 报告 。 
(2) 执行 诊断 测试 ,确定 故障 的 位 置 和 性 质 。 
(3) 当 存在 备用 设备 或 迁 回路 由 时 ,提供 新 的 网 络 资源 用 于 服务 。 
(4) 通过 设备 的 维护 或 更 换 等 措施 进行 故障 的 修复 。 
(5) 维护 故障 日 志文 件 , 记 录 故 障 信息 ,分 析 故 障 原因 。 


2. 配置 管理 

配置 管理 用 来 初始 化 并 配置 网 络 ,以 使 其 能 够 提供 网 络 服务 。 配 置 管理 可 以 标识 并 
收集 被 管 设备 的 配置 信息 ,监控 网 络 当 前 配置 并 可 根据 需求 修改 当前 配置 ,启动 或 关闭 资 
源 等 。 配 置 管理 包含 的 典型 功能 如 下 : 

(1) 初始 化 或 关闭 被 管 设备 。 

(2) 收集 网 络 当 前 的 配置 信息 。 

(3) 根据 要 求 修改 网 络 的 配置 信息 。 


网 络 管理 


泪 囊 琶 副 


二 、 
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(4) 存 取 网 络 配置 信息 。 
(5) 发 现 和 显示 网 络 的 拓扑 结构 。 
(6) 按 照 要 求生 成 配置 报告 。 


3. 计 费 管理 

计 费 管理 负责 监视 和 记录 用 户 对 网 络 资源 的 使 用 情况 ,并 根据 使 用 情况 计算 所 需要 
的 成 本 和 费用 ,以 作为 向 用 户 收费 的 依据 。 计 费 管理 对 公共 商业 网 络 显 得 尤为 重要 。 计 
费 管理 包含 的 典型 功能 如 下 : 

(1) 统计 网 络 利用 率 等 效益 数据 ,为 网 络 运营 部 门 提供 制定 资费 政策 的 依据 。 

(2) 记录 用 户 使 用 网 络 资源 的 情况 .并 以 此 为 依据 计算 用 户 费 用 。 

(3) 保存 计 费 信息 ,以 备用 户 查询 和 质疑 。 


4. 性 能 管理 

性 能 管理 负责 监测 网 络 的 性 能 ,通过 监测 网 络 中 的 吞吐 量 、 利 用 率 、 错 误 率 以 及 响应 
时 间 等 指标 数据 ,分 析 网 络 的 运行 趋势 、 验 证 网 络 的 服务 水 平 . 找 出 潜在 的 问题 ,将 网 络 性 
能 控制 在 一 个 可 以 接受 的 水 平 。 性 能 管理 的 目的 就 是 保证 网 络 能 够 提供 可 靠 和 连续 地 服 
务 。 性 能 管理 包含 的 典型 功能 如 下 : 

(1) 从 被 管 设备 中 收集 和 统计 与 性 能 相关 的 数据 ,并 产生 相应 的 记录 。 

(2) 分 析 性 能 数据 、 检 测 性 能 故障 、 产 生性 能 告警 报告 。 

(3) 预测 性 能 的 长 期 变化 趋势 。 

(4) 控制 被 管 设备 ,保证 网 络 的 性 能 指标 。 


5. 安全 管理 

安全 管理 负责 保护 网 络 资源 的 安全 ,包括 限制 非法 入 侵 者 进入 网 络 的 进 网 安全 防护 ; 
检查 用 户 访问 权限 的 应 用 访问 安全 防护 ; 对 数据 进行 加 密 和 认证 的 网 络 传输 信息 的 安全 
防护 等 。 安 全 管理 包含 的 典型 功能 如 下 : 

(1) 管理 用 户口 令 、 密 钥 以 及 访问 权限 等 安全 措施 信息 ,并 依据 安全 措施 信息 判断 和 
拒绝 非法 操作 。 

(2) 进行 安全 审查 ,检查 网 络 中 各 种 潜在 的 安全 漏洞 。 

(3) 对 影响 网 络 安全 的 事件 进行 记录 ,生成 安全 报告 。 

(4) 维护 安全 日 志文 件 。 
7.2.2 网 络 管理 模型 

在 网 络 管理 中 ,一 个 网 络 中 的 网 络 设备 .服务 器 .主机 等 将 均 被 看 做 被 管理 的 对 象 ,而 
由 某 一 台 运 行 网 络 管理 软件 的 主机 作为 管理 者 对 其 进行 管理 ,在 管理 者 和 被 管理 的 对 象 
之 间 会 遵循 一 定 的 规则 进行 通信 ,而 通信 的 目的 是 管理 者 可 以 对 被 管理 的 对 象 上 的 资源 
信息 进行 查询 和 修改 。 因 此 ,典型 的 网 络 管理 模型 应 该 由 4 部 分 组 成 ,分 别 是 网 络 管理 实 
体 (Network Management Entity, NME)、 网 络 管理 代理 (Network Management Agent， 
NMA)、 网 络 管理 协议 (Network Management Protocol, NMP) 和 管理 信息 库 
(Management Information Base, MIB) ,如 图 7-2 所 示 。 
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网 络 管理 系统 (网 络 管理 协议 ) 


被 管 设备 。 ,被 管 设备 。 | 被 管 设备 ~、、 


2 Ww 


2 六 
网 络 管理 代理 ] 网 络 管理 代理 | 网 络 管理 代理 ] 
[管理 信息 库 ] 人 管理 信息 库 ] (管理 信息 库 】 
图 7-2 网 络 管理 模型 
1. 网 络 管理 实体 


网 络 管理 实体 即 网 络 管理 系统 进程 , 它 向 运行 在 被 管理 的 网 络 设备 上 的 网 络 管理 代 
理 程序 发 出 管理 操作 指令 ,并 接收 来 自 网 络 管理 代理 的 信息 ,以 对 各 种 网 络 设备 、 网 络 资 
源 进 行 监控 和 管理 。 

运行 网 络 管理 系统 的 主机 称 为 网 管 工 作 站 ,网管 工作 站 一 般 采 用 专门 的 服务 器 来 实 
现 ,逻辑 上 位 于 网 络 的 主干 或 接近 主干 的 位 置 。 


2. 网 络 管理 代理 

网 络 管理 代理 是 驻 留 在 网 络 设备 上 的 与 网 络 管理 实体 之 间 进 行 交 互 的 进程 , 它 接收 
来 自 网 络 管理 实体 的 指令 ,根据 指令 要 求 对 被 管理 设备 上 的 管理 信息 库 中 的 相关 信息 进 
行 读 取 和 修改 操作 ,并 将 相应 的 信息 返回 给 网 络 管理 实体 。 网 络 管理 代理 也 可 以 将 自身 
系统 中 发 生 的 事件 主动 通知 给 网 络 管理 实体 。 网 络 管理 代理 可 以 被 看 做 是 网 络 管理 实体 
与 被 管 设备 上 的 管理 信息 库 之 间 的 中 介 。 


3. 网 络 管理 协议 

网 络 管理 协议 是 网 络 管理 实体 与 网 络 管理 代理 之 间 进 行 通信 所 遵守 的 约定 和 规则 。 
目前 最 有 影响 的 两 个 网 络 管理 协议 分 别 是 国际 标准 化 组 织 定义 的 公共 管理 信息 服务 和 公 
共管 理 信息 协议 (Common Management Information Services/Common Management 
Information Protocol,CMIS/CMIP) 以 及 互联 网 工程 任务 组 (Internet Engineering Task 
Force,IETF) 定 义 的 简单 网 络 管理 协议 (Simple Network Management Protocol， 
SNMP)。 其 中 CMIS/CMIP 较为 有 限 的 应 用 在 基于 OSI 的 网 络 中 ,而 SNMP 广泛 应 用 
在 基于 TCP/IP 的 网 络 中 。 


4. 管理 信息 库 
管理 信息 库 是 被 管理 对 象 的 信息 集合 。 任 何 一 个 被 管理 的 资源 都 可 以 表示 成 为 一 个 
对 象 , 称 为 被 管理 对 象 ,被 管理 对 象 在 某 一 时 刻 的 值 称 为 管理 变量 或 被 管 对 象 的 实例 ,所 


区 
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以 管理 信息 库 实际 上 就 是 各 种 管理 变量 的 集合 , 它 反 映 了 被 管理 对 象 在 系统 中 的 状态 。 
每 一 个 被 管理 的 设备 上 都 有 自己 的 管理 信息 库 , 管 理 信息 库 由 被 管 设备 上 的 网 络 管理 代 
理 进 程 负责 管理 和 维护 ,维持 其 与 物理 实体 之 间 的 一 致 性 。 


7.3 简单 网 络 管理 协议 


7.3.1 SNMP 基础 

SNMP 协议 由 IETF 于 1988 年 发 布 ,其 前 身 是 简单 网 关 管 理 协议 (Simple Gateway 
Management Protocol,SGMP)。 与 网 络 管理 模型 相对 应 ,SNMP 的 结构 分 为 SNMP 管 
理 者 和 SNMP 代理 两 部 分 。 每 一 个 支持 SNMP 的 网 络 设备 中 都 包含 一 个 SNMP 代理 ， 
它 随时 记录 网 络 设备 的 各 种 信息 ,SNMP 管理 者 再 通过 SNMP 协议 查询 或 修改 SNMP 
代理 所 记录 的 信息 。SNMP 协议 的 基本 工作 原理 就 是 使 SNMP 管理 者 通过 轮 询 SNMP 
代理 ,以 及 SNMP 代理 主动 向 SNMP 管理 者 发 送 陷 阱 信息 ,来 设置 一 些 被 管 对 象 的 属性 
和 监控 一 些 网 络 事件 的 发 生 , 从 而 达到 网 络 管理 的 目的 。 

在 SNMP 协议 中 ,SNMP 管理 者 从 SNMP 代理 获得 被 管 对 象 信息 的 途径 有 两 种 : 轮 
询 和 自 陷 。 轮 询 是 指 SNMP 管理 者 周期 性 地 向 网 络 中 的 各 个 SNMP 代理 发 送 查 询 命令 
来 获得 被 管 设备 上 各 个 被 管 对 象 的 数据 信息 。 通 过 轮 询 ,SNMP 管理 者 可 以 对 网 络 的 整 
体 情 况 进行 监控 ,但 是 轮 询 存在 无 法 确保 被 管 对 象 数据 信息 实时 性 的 缺陷 ,尤其 对 于 网 络 
故障 信息 的 实时 性 监控 。 由 于 轮 询 是 周期 性 的 ,因此 轮 询 时 间 间 隔 的 大 小 将 对 轮 询 的 结 
果 产 生 影响 。 如 果 轮 询 的 时 间 间 隔 太 小 , 则 会 产生 太 多 不 必要 的 通信 流量 ; 而 如 果 轮 询 
的 时 间 间 隔 太 大 , 则 对 于 网 络 中 的 故障 事件 又 可 能 会 无 法 及 时 监控 到 。 为 解决 轮 询 存在 
的 缺陷 ,对 于 故障 等 异常 事件 采用 自 陷 的 方式 , 即 在 网 络 中 出 现 了 异常 事件 的 时 候 ,相应 
的 SNMP 代理 会 主动 向 SNMP 管理 者 发 送 陷阱 报 文 ,而 不 必 等 到 SNMP 管理 者 对 其 进 
行 轮 询 , 从 而 使 SNMP 管理 者 可 以 实时 监控 到 这 些 故障 信息 。 轮 询 和 自 陷 两 种 方法 的 结 
合 称 为 面向 自 陷 的 轮 询 方法 (Trap-directed Polling) 。 

为 防范 恶意 攻击 者 冒充 SNMP 管理 者 对 SNMP 代理 进行 操作 ,在 SNMP 协议 中 ， 
SNMP 管理 者 与 SNMP 代理 之 间 使 用 团体 名 (Communtiy Name) 进行 认证 。 只 有 
SNMP 管理 者 与 SNMP 代理 使 用 的 团体 名 相同 ,SNMP 管理 者 才能 对 SNMP 代理 进行 
管理 ,否则 SNMP 代理 将 向 SNMP 管理 者 发 送 认 证 失败 信息 ,并 丢弃 相关 的 管理 报 文 。 

SNMP 协议 经 过 二 十 余年 的 发 展 ,目前 包含 SNMPv1、SNMPv2 和 SNMPv3 共 3 个 
版 本 。 在 SNMPvl 中 ,为 SNMP 管理 者 与 SNMP 代理 之 间 的 交互 定义 了 5 种 不 同类 型 
的 PDU ,分别 如 下 。 

(1) Get-Requset: 由 SNMP 管理 者 发 送 给 SNMP 代理 ,用 于 从 SNMP 代理 处 获取 
指定 被 管理 对 象 的 值 。 

(2) Get-Next-Request: 由 SNMP 管理 者 发 送 给 SNMP 代理 ,用 于 从 SNMP 代理 处 
获取 指定 被 管理 对 象 的 下 一 个 对 象 的 值 。Get-Next-Request 还 可 以 通过 遍历 MIB 树 来 
连续 获取 一 组 被 管理 对 象 的 值 。 

(3) Set-Requset: 由 SNMP 管理 者 发 送 给 SNMP 代理 ,用 于 设置 SNMP 代理 处 指 
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定 被 管理 对 象 的 值 。 

(4) Get-Response: 由 SNMP 代理 发 送 给 SNMP 管理 者 ,是 对 Get-Requset、 Get- 
Next-Request 和 Set-Requset 的 响应 报 文 ,用 于 返回 请 求 值 或 错误 类 型 等 信息 。 

(5) Trap: 由 SNMP 代理 发 送 给 SNMP 管理 者 ,用 于 向 SNMP 管理 者 发 送 非 请 求 
信息 ,一 般 用 来 通告 SNMP 代理 处 有 重要 事件 的 发 生 , 即 异常 报警 等 。 

作为 应 用 层 协 议 ,SNMP 协议 在 传输 层 基于 UDP 协议 来 实现 ,其 中 SNMP 管理 者 在 
UDP 的 162 端口 上 监听 来 自 SNMP 代理 的 Trap 报 文 ,而 SNMP 代理 则 在 UDP 的 161 
端口 上 监听 来 自 SNMP 管理 者 的 各 种 Requset 报 文 。 

随 着 网 络 规模 的 扩大 和 网 络 技术 的 发 展 ,SNMPv1 已 逐渐 无 法 满足 网 络 管理 的 需 
求 , 主 要 表现 在 以 下 两 个 方面 。 

(1) SNMPvl 只 支持 集中 式 的 网 络 管理 , 即 在 网 络 中 只 有 一 个 SNMP 管理 者 。 在 网 
络 规模 较 大 时 ,将 造成 SNMP 管理 者 的 负担 过 重 , 并 且 由 于 所 有 的 管理 流量 均 汇集 到 
SNMP 管理 者 处 ,造成 管理 流量 的 拥塞 ,影响 网 络 管理 的 效率 。 

(2) SNMPv1 的 安全 性 较 差 ,所 有 的 信息 均 采用 明文 方式 传送 ,缺乏 必要 的 加 密 、 认 
证 等 手段 ,无 法 保证 数据 的 机 密 性 以 及 完整 性 。 

为 解决 SNMPv1 存在 的 问题 ,在 1993 年 发 布 了 SNMP 的 第 2 版 , 即 SNMPv2。 
SNMPv2 对 SNMPv1 进行 了 修订 ,并 在 性 能 、 安 全 等 方面 进行 了 改进 ,但 SNMPv2 中 的 
新 安全 特性 被 认为 过 于 复杂 而 未 被 广泛 接受 。 因 此 在 1996 年 发 布 了 SNMPv2c 
(Community-based SNMP), 即 基于 团体 名 的 SNMP 第 2 版 。SNMPv2c 包含 了 
SNMPv2 除了 受 争议 的 新 安全 模型 以 外 的 部 份 ,在 安全 方面 依然 沿袭 了 SNMPv1 的 团体 
名 认证 方式 。SNMPv2c 也 被 非 正式 的 称 为 SNMP 的 第 1.5 版 。 

SNMPv2c 在 兼容 SNMPvl 的 同时 ,对 SNMPv1l 的 功能 进行 了 扩充 ,主要 说 明 如 下 。 

(1) SNMPv2c 提供 了 对 分 布 式 网 络 管理 的 支持 。 在 SNMPv2c 中 ,网 络 中 可 以 分 层 
次 地 存在 多 个 SNMP 管理 者 ,其 中 中 间 管 理 者 同时 承担 着 SNMP 管理 者 和 SNMP 代理 
两 种 角色 ,一 方面 它 以 SNMP 代理 的 身份 接受 上 一 级 SNMP 管理 者 的 管理 , 另 一 方面 又 
作为 SNMP 管理 者 对 下 属 的 SNMP 代理 进行 管理 。 分 布 式 管理 有 效 的 减轻 了 顶级 
SNMP 管理 者 的 负担 ,分 散 了 SNMP 管理 流量 ,适用 于 大 中 型 网 络 的 管理 。 

(2) SNMPv2c 中 增加 了 两 种 新 的 PDU。 

@ Get-Bulk-Request: Get-Bulk-Request 是 对 Get-Next-Request 的 改进 , 它 可 以 使 
SNMP 管理 者 高 效率 地 从 SNMP 代理 处 获得 大 量 被 管理 对 象 的 数据 。Get-Bulk- 
Request 通过 设 定 Non repeaters 和 Max repetitions 参数 ,人 允许 SNMP 管理 者 请 求 得 到 
在 给 定 的 条 件 下 尽 可 能 多 的 应 答 ,从 而 尽量 减少 查询 大 量 信息 时 所 进行 的 协议 交换 次 数 。 

@ Inform-Requset: Inform-Requset 用 于 在 SNMP 管理 者 之 间 进 行 通信 。 它 被 认为 
是 低级 别 SNMP 管理 者 向 自己 的 上 级 SNMP 管理 者 发 送 的 Trap 报 文 。 从 广义 上 讲 
SNMP 协议 的 Trap 可 以 分 为 Trap 和 Inform-Requset 两 种 ,区 别 在 于 SNMP 管理 者 在 
收 到 一 条 Trap 通知 后 无 需 回复 任何 确认 信息 ; 而 在 收 到 一 条 Inform-Requset 通知 后 , 需 
要 回复 Reponse 作为 确认 信息 。 

(3) SNMPv2c 改进 了 SNMPvl 的 管理 信息 结构 (Structure of Management 
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Information,SMI) 。SNMPv2c 定义 扩充 了 对 象 类 型 宏 ,增强 了 对 象 表达 能 力 ,扩展 了 数 
据 类 型 。SMI 的 具体 概念 在 下 一 节 进 行 介绍 。 

目前 , 提 及 SNMPv2 一 般 都 是 指 SNMPv2c。 

出 于 对 SNMP 通信 安全 性 的 考虑 ,在 2004 年 发 布 了 SNMPv3,SNMPv3 主要 增强 了 
SNMP 协议 的 安全 性 , 它 采 用 基于 用 户 的 安全 模型 (User-Based Security Model,USM) 和 
基于 视图 的 访问 控制 模型 (View-based Access Control Model, VACM) 技 术 来 实现 数据 
的 机 密 性 以 及 用 户 的 访问 合法 性 等 安全 策略 。 

(1) USM: USM 引入 了 用 户 名 和 组 的 概念 ,可 以 设置 认证 和 加 密 功能 。 认 证 用 于 验 
证 报 文 发 送 方 的 合法 性 ,避免 非法 用 户 的 访问 ; 加 密 用 于 对 SNMP 管理 者 和 SNMP 代理 
之 间 传 输 的 报 文 ,以 免 被 窃听 。 通 过 有 无 认证 和 有 无 加 密 等 功能 的 组 合 ,可 以 为 SNMP 
管理 者 和 SNMP 代理 之 间 的 通信 提供 更 高 的 安全 性 。 

(2) VACM: VACM 技术 定义 了 组 ,安全 等 级 、 上 下 文 .MIB 视图 .访问 策略 等 5 个 
元 素 ,这 些 元 素 同 时 决定 用 户 是 否 具 有 访问 权限 ,只 有 具有 了 访问 权限 的 用 户 才能 管理 操 
作对 象 。 在 同一 个 SNMP 实体 上 可 以 定义 不 同 的 组 ,组 与 MIB 视图 绑 定 , 组 内 又 可 以 定 
义 多 个 用 户 。 当 使 用 某 个 用 户 名 进行 访问 的 时 候 , 只 能 访问 对 应 的 MIB 视图 定义 的 对 
象 ,从 而 避免 了 用 户 的 越权 非法 访问 。 

7.3.2 MIB 与 RMON 

1. MIB 

作为 被 管理 对 象 的 信息 集合 ,为 确保 MIB 中 各 个 被 管理 对 象 在 语义 和 语法 上 的 明确 
和 唯一 ,在 SNMP 协议 中 使 用 管理 信息 结构 (Structure of Management Information， 
SMDJ) 请 言 对 被 管理 对 象 的 对 象 模型 数据 类 型 .命名 方法 以 及 写 信 修改 规则 等 进行 了 定 
义 。 在 SMI 中 ,使 用 抽象 语法 符号 (Abstract Syntax Notation One, ASNO) 对 被 管理 对 
象 进行 描述 ,在 该 描述 中 ,MIB 以 树 形 结构 进行 存储 ,如 图 7-3 所 示 。 


ccitt(0) iso(1) joint-iso-ccitt(2) 
ws 
ob) 
internet(1) 
directory(1) mgmt(2) expermental(3) ”private(4) 
mib-2(1) enterprises(1) 


system(1) interface(2) at(3) ip(4) icmp(5) tco(6) udp(7) IBM(2) cisco(9) huawei(2011) h3c(25506) 
图 7-3 MIB 树 形 结构 示意 图 


在 MIB 的 树 形 结构 中 , 树 的 叶 节点 表示 被 管理 对 象 , 每 一 个 被 管理 对 象 或 子 树 都 可 
以 用 从 根 开 始 的 一 条 路 径 来 唯一 地 识别 ,这 条 用 数字 串 来 表示 的 路 径 称 为 被 管理 对 象 或 
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子 树 的 对 象 标识 符 (Object Identifier, OID)。 例 如 ,以 mib-2 为 根 节 点 的 子 树 的 OID 为 
{1.3.6.1.2.1), 也 可 以 表示 为 {mgmt. 1) , 即 mib-2 为 mgmt 的 第 一 棵 子 树 。 

在 MIB 树 中 ,顶级 对 象 有 3 个 ,分 别 是 ITU-T、ISO 和 这 两 个 组 织 的 联合 体 ; 在 ISO 
下 面 有 4 个 节点 ,其 中 org 是 被 标识 的 组 织 ; 在 org 下 存在 一 个 美国 国防 部 (Department 
of Defense) 的 节点 dod; 在 dod 下 存在 节点 internet, 用 到 的 被 管理 对 象 均 在 internet 之 
下 ; 在 internet 下 的 mgmt 中 存在 一 个 mib-2 的 节点 ,早期 该 节点 的 名 称 为 mib, 在 管理 
信息 库 升级 为 第 2 版 后 ,该 节点 的 名 称 被 改 为 mib-2, 目 前 在 mib-2 下 存在 四 十 余 个 节点 。 
在 internet 下 的 private 中 存在 节点 enterprises, 该 节点 之 下 供 设 备 厂商 和 企业 申请 属于 
自己 的 节点 ,在 申请 到 节点 后 ,各 个 厂商 就 可 以 定义 自己 私有 的 被 管理 对 象 ,使 之 能 被 
SNMP 协议 管理 。 目 前 在 enterprises 下 存在 数 千 个 节点 ,例如 IBM 为 2、Cisco 为 9、 
Microsoft 为 311、 华 为 为 2011、H3C 为 25506 。 

在 MIB 树 的 叶 节 点 中 存放 有 访问 函数 的 指针 ,在 SNMP 代理 访问 某 个 被 管理 对 象 
时 ,首先 会 根据 该 对 象 的 OID 找到 其 对 应 的 叶 节 点 ,然后 调用 该 叶 节 点 对 应 的 函数 来 获 
得 相应 被 管理 对 象 的 管理 变量 ,从 而 实现 相应 的 操作 。 在 SNMP 的 报 文中 , Variable 
bindings 字段 中 包含 了 SNMP 访问 的 被 管理 对 象 OID 以 及 相应 的 变量 值 信息 ,如 图 7-4 
所 示 。 


snap-set. pcap 一 Pireshark 上 口 | x| 
File Edit Yiew Go Capture Analyre Statistics Telephony Tools lelp 


CR 


variable-bindings: 1 item 
日 SNMPv2-SMI: :enterprises.25506.8.35.5.1.4.1.3.3 (1.3.6.1. 
Object Name: 此 .3.6.1.4.1.25506.8.35.5.1.4.1.3.3 (SNMPv 
加 Value (Integer32): 1 | 
到 


图 7-4 SNMP 报 文中 的 OID 


2. RMON 

在 SNMP 协议 中 ,SNMP 管理 者 通过 轮 询 来 采集 被 管理 设备 的 数据 信息 , 轮 询 会 产 
生 大 量 的 网 络 管理 报 文 ,从 而 可 能 导致 网 络 的 拥塞 ,其 至 是 网 管 工 作 站 的 崩溃 ,为 此 引入 
了 远程 网 络 监视 (Remote Monitoring, RMON) 技 术 。RMON 实际 上 是 由 IETF 定义 的 
一 种 MIB, 它 通过 对 SNMP 的 MIB-2 进行 扩展 ,使 SNMP 管理 者 可 以 将 一 个 网 段 当 做 一 
个 整体 来 监视 ,从 而 减少 SNMP 管理 者 与 SNMP 代理 之 间 的 网 络 管理 流量 ,减轻 网 关 工 


如 站 
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作 站 的 负担 ,使 SNMP 可 以 更 有 效 地 管理 远程 网 络 设备 。 

RMON 定义 的 MIB 包含 9 个 信息 组 ,分 别 是 统计 组 ,历史 组 ,告警 组 .主机 组 、 最 高 
NN 台 主 机 组 ,矩阵 组 ,过 滤 组 、 包 捕获 组 和 事件 组 ,这 9 个 组 分 别提 供 不 同 的 统计 数据 和 
分 析 数 据 来 满足 网 络 管理 和 监控 的 实际 需要 。 

作为 与 SNMP 框架 完全 兼容 的 技术 ,RMON 同样 分 为 网 管 工 作 站 (Network 
Management Station,NMS) 和 网 管 代理 两 部 分 。NMS 收集 数据 的 方法 有 两 种 : 

(1) 通过 专门 的 RMON Probe 探测 仪 收集 数据 。RMON 代理 运行 于 专门 的 RMON 
探测 仪 上 ,NMS 直接 从 RMON 探测 仪 获取 网 络 管理 信息 并 控制 网 络 资源 。 这 种 方式 可 
以 获取 RMON MIB 的 全 部 信息 ,但 实现 成 本 较 高 。 

(2) 从 被 管理 的 网 络 设备 上 收集 数据 。 将 RMON 代理 直接 植 入 网 络 设备 ,使 网 络 设 
备 具 备 RMON 探测 仪 的 功能 。NMS 利用 SNMP 的 基本 命令 与 运行 于 网 络 设 备 上 的 
RMON 代理 之 间 进 行 数据 信息 交换 ,收集 网 络 管理 信息 。 受 到 设备 资源 的 限制 ,该 方法 
一 般 无 法 获取 RMON MIB 的 所 有 数据 ,大 多 数 情 况 下 只 收集 统计 组 ,历史 组 告警 组 和 
事件 组 4 个 组 的 信息 。 

在 实际 应 用 中 ,一 般 都 采用 第 2 种 方法 来 实现 , 即 在 网 络 设 备 上 内 置 支持 RMON 功 
能 的 SNMP 代理 进程 。NMS 通过 与 SNMP 代理 交互 就 可 以 获得 被 管理 设备 的 接口 或 
端口 相连 网 段 上 的 整体 流量 ,错误 统计 和 性 能 统计 等 信息 ,从 而 实现 对 网 络 的 远程 管理 。 


7.4 网 络 管理 的 配置 


作为 网 络 管理 代理 端 , 当前 的 网 络 设备 一 般 都 能 提供 对 SNMPv1、SNMPv2c 和 
SNMPv3 三 个 版 本 SNMP 协议 的 支持 ,但 早期 的 网 络 设备 可 能 无 法 支持 SNMPv3 ,因此 
在 这 里 以 SNMPvl 和 SNMPv2c 的 配置 方法 为 例 对 网 络 管理 的 配置 进行 介绍 。 

7.4.1 H3C 设备 的 配置 
在 H3C 网 络 设备 上 .SNMP 协议 配置 涉及 的 基本 命令 如 下 。 
(1) 启动 SNMP 代理 服务 。 


[H3C] snmp-agent 

在 默认 情况 下 ,SNMP 代理 服务 处 于 关闭 状态 ,必须 通过 snmp-agent 命令 将 其 启动 。 
(2) 设置 SNMP 的 系统 信息 。 

[H3C] snmp-agent sys-info {contact sys-contact | location sys-location |version {vl|v2c|v3|all}} 


默认 情况 下 ,系统 维护 联系 信息 为 “R&D Hangzhou, Hangzhou H3C Technologies 
Co.，Ltd. ”, 在 设备 发 生 故 障 时 ,维护 人 员 可 以 根据 系统 维护 联系 信息 及 时 与 设备 生产 厂 
商 取得 联系 ; 物理 位 置信 息 为 “Hangzhou，China”; 版 本 信息 为 v3。 

(3) 设置 SNMP 的 团体 名 。 


[H3C] snmp-agent community {read| write} community name 


一 般 建 议 配置 的 只 读 团体 名 和 读 写 团体 名 不 要 相同 ,并 且 团 体 名 应 具备 足够 的 复杂 
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度 ,应 尽量 避免 使 用 有 意义 的 字符 串 。 
(4) 设置 本 地 引擎 ID 。 


[H3C] snmp-agent local-engineid engineid 


默认 情况 下 ,本 地 引擎 ID 为 设备 生产 厂商 的 “企业 号 十 设备 信息 ”, 例 
如 : 800063A2033CE5A61354B6。 
(5) 启动 SNMP 的 Trap 功能 ,使 网 络 设备 可 以 向 网 管 工 作 站 发 送 Trap 信息 。 


[H3C] snmp-agent trap enable 
(6) 设置 Trap 的 目标 主机 地 址 , 即 网 管 工作 站 的 地 址 。 


[H3C] snmp-agent target-host trap address udp-domain ipaddress [udp-port port-number] params 

securityname security-string 

其 中 ,参数 ip-address 为 网 管 工作 站 的 地 址 , 即 指定 网 络 设备 向 谁 发 送 Trap 信息 ; 
port-number 默认 为 162; security-string 要 和 之 前 配置 的 只 读 团体 名 相同 。 

SNMPv3 的 配置 与 SNMPvl 和 SNMPv2c 的 配置 存在 较 大 的 差异 ,在 SNMPv3 的 配 
置 中 需要 配置 组 和 用 户 等 信息 。 为 保持 配置 命令 的 一 致 性 ,SNMPv1 和 SNMPv2c 也 可 
以 采用 与 SNMPv3 相 一 致 的 命令 形式 进行 配置 。 如 果 采 用 SNMPv3 的 命令 形式 进行 
SNMPvl 和 SNMPv2c 的 配置 , 则 配置 的 用 户 名 即 为 SNMPvl 和 SNMPv2c 的 团体 名 。 

以 上 所 介绍 的 是 SNMP 代理 端的 配置 ,在 配置 完 代理 端 后 ,还 需要 对 SNMP 管理 者 
即 网 管 工作 站 进行 相应 的 配置 ,才能 对 网 络 进行 管理 。 所 谓 的 网 管 工作 站 实际 上 就 是 指 
运行 网 络 管理 系统 的 主机 。 目 前 常用 的 网 络 管理 系统 软件 种 类 繁多 ,能 够 提供 的 功能 和 
系统 规模 相差 很 大 , 既 有 能 够 提供 五 大 网 络 管理 功能 的 标准 网 络 管理 平台 ,例如 , HP 公 
司 的 OpenView 、IBM 公司 的 NetView; 又 有 只 能 提供 部 分 网 络 管理 功能 的 软件 ,例如 ， 
进行 网 络 安全 审查 的 Nessus、 进 行 网 络 性 能 监控 的 PRTG 等 。 在 这 里 我 们 使 用 的 网 络 管 
理 软件 为 H3C 公司 的 智能 管理 中 心 (Intelligent Management Center,iMC) ,作为 H3C 
推出 的 下 一 代 业 务 智能 管理 产品 ,iMC 以 全 开放 、 组 件 化 的 架构 原型 ,以 统一 的 风格 向 用 
户 提供 与 网 络 相关 的 各 类 管理 .控制 和 监控 等 功能 。 

假设 存在 如 图 7-5 所 示 的 网 络 , 其 中 网 络 的 联通 性 配置 已 经 完成 ,要 求 进行 SNMP 
的 配置 ,使 其 可 以 被 网 管 工作 站 NMS 上 的 iMC 管理 。 其 中 只 读 团体 名 为 public, 读 写 团 
体 名 为 private。 

4 台 网 络 设备 上 的 SNMP 配置 完全 相同 ,其 中 RTA 上 的 配置 命令 如 下 : 


[RTA]snmp-agent 

[RTA]snmp-agent sys-info version all 

[RTA]snmp-agent community read public 

[RTA]snmp-agent community write private 

[RTA]snmp-agent trap enable 

[RTA]snmp-agent target-host trap address udp-domain 192.168.1.3 params securityname public 


配置 完成 后 ,使 用 display current-configuration 命令 查看 SNMP 的 配置 情况 如 下 : 
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RTA RTB L3SW 


了 192.168.3.4/30 


EO/0 


E0/0:192.168.1.1/24 E1/0/1 E1/02 


L2SW VLAN1:192.168.2.1/24 


VLAN1:192.168.1.2/24 
E1/0/1 E1/0/2 


NMS PC PC> PC 
192.168.1.3/24 192.168.1.4/24 192.168.2.2/24 。 192.168.2.3/24 
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[RTA]display current-configuration | include snmp 

snmp-agent 

snmp-agent local-engineid 800063A2033CE5A61354B6 

snmp-agent community read public 

snmp-agent community write private 

snmp-agent sys-info version all 

snmp-agent target-host trap address udp-domain 192.168.1.3 params securityname public 


RTB、L2SW 和 L3SW 上 的 配置 略 。 

网 络 设备 即 SNMP 的 代理 端 配置 完成 后 ,在 NMS 上 启动 iMC 对 网 络 进行 管理 。 关 
于 iMC 的 具体 安装 过 程 详 见 附录 D, 在 这 里 只 对 其 应 用 进行 介绍 。 在 NMS 上 选择 “ 开 
始 一 程序 一 H3C 智能 管理 中 心 一 H3C 部 署 监控 代理 ”, 弹 出 “智能 部 署 监 控 代理 "界面 ， 
如 图 7-6 所 示 。 


池 智能 部 署 监 控 代理 


监控 | 进程 | 部署 | 运行 环境 | 
© Bjb inc | 国 停止 imc | 安装 新 组 件 
TT 退出 


图 7-6 智能 部 署 监控 代理 


在 “智能 部 署 监控 代理 ”界面 单 击 “ 启 动 iMC” 来 启动 iMC 服务 ,这 个 过 程 可 能 需要 花 
费 数 分 钟 的 时 间 。 在 iMC 启动 后 , 单 击 “ 进 程 ”选项 卡 可 以 看 到 所 有 进程 均 已 处 在 “已 经 
启动 "的 状态 。 

iMC 启动 后 ,在 NMS 上 打开 下 浏览 器 ,输入 地 址 “http://localhost:8080/imc” 即 可 
进入 iMC 的 登录 页 面 。iMC 默认 的 用 户 名 和 密码 均 为 admin, 输 入 用 户 名 和 密码 登录 进 
入 iMC 的 首页 ,如 图 7-7 所 示 。 

此 时 ,iMC 中 不 包含 任何 的 网 络 设备 ,因此 首先 需要 增加 被 管理 的 网 络 设备 。 在 
iMC 中 增加 设备 有 两 种 方法 : 一 种 方法 是 手动 增加 ,通过 这 种 方法 可 以 向 iMC 中 增加 指 
定 的 一 台 设 备 , 一 般 用 于 在 已 存在 的 被 管理 网 络 中 增加 一 台新 的 网 络 设 备 ; 另 一 种 方法 
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图 7-7 iMC 首页 


是 自动 发 现 ,是 由 iMC 自动 去 查询 发 现 网 络 中 存在 的 可 管理 设备 ,一 般 用 于 初次 使 用 
iMC 时 快速 完成 网 络 设备 的 批量 增加 。 在 这 里 使 用 自动 发 现 功 能 来 批量 增加 网 络 
设备 。 

在 首页 的 左 侧 * 功 能 导航 ” 栏 中 选择 “自动 发 现 ”, 或 者 在 “资源 "页 签 下 的 “资源 管理 ” 
栏 中 选择 “自动 发 现 ”, 进 入 “自动 发 现 (简易 ) ”界面 ,如 图 7-8 所 示 。 


网 及 设置 (必须 ) 
Ei | | 
结束 |P | 


8 
: 
eB 


设备 分 组 oe 


SNMP & Telnet 参数 设置 


* 定时 发 不 ] 
图 7-8 “自动 发 现 ( 简 易 )" 界 面 
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在 “自动 发 现 ( 简 易 )” 界 面 的 右上 角 单 击 “ 切 换 到 高 级 模式 ”, 可 以 切换 到 高 级 自动 发 
现 界面 ,如 图 7-9 所 示 。 


人 @ 以 路 由 方式 发 现 
通过 设备 路 由 表 自 动 搜索 可 管理 的 网 络 设备 。 
C BAARP 方 式 发 现 
通过 设备 ARP 表 自动 搜索 可 管理 的 网 络 设备 。 
CC IPSecVPN 方 式 发 现 
通过 IPSec VPN 自 动 搜索 可 管理 的 网 络 设备 。 
个 以 网 段 方式 发 现 
按 IP 网 段 发 现 只 希 设置 要 发 现 的 网 段 地 址 范围 ， 不 希 种 子 设备 , 


元 秒 


7-9 高 级 自动 发 现 界面 


在 高 级 自动 发 现 界面 中 可 以 根据 具体 的 应 用 需求 选择 不 同 的 发 现 方式 ,在 了 解 网 络 
中 网 段 规划 信息 的 情况 下 ,推荐 使 用 "以 网 段 方式 发 现 ”, 即 “自动 发 现 (简易 ) 界 面 中 使 用 
的 方式 。 在 图 7-8 中 增加 需要 进行 发 现 的 网 段 ,并 设置 SNMP 的 团体 名 ,如 图 7-10 所 示 。 


网 及 设置 (必须 ) 
开始 IP 
结束 |P 增加 
* 已 设置 的 网 段 地 址 。 [192-168.11-192 168.1.4 出 除 


192 168 2 1.192 168.23 
192 1683 1.192 168.36 
设备 分 组 | EE agoe 
SNMP & Teinet 参数 设置 
* SNMP 读 团体 字 lpublic 
* SNMPSBff 字 [me | 
* Telnet 证 模式 [元 用 户 名 “无 记 末 S| 
定时 发 现 设置 
*， 定 时 发 现 方式 不 习 
仅 保 存 设置 EZ 


图 7-10 自动 发 现 参数 配置 


在 图 7-10 中 单 击 “自动 发 现 ? 按 钮 开始 自动 发 现 过 程 。iMC 自动 发 现 完成 后 ,显示 结 
果 如 图 7-11 所 示 。 

从 图 7-11 所 显示 的 自动 发 现 结果 可 以 看 出 ,iMC 共 发 现 了 8 个 设备 ,其 中 SNMP 设 
备 4 个 ,分 别 是 路 由 器 RTA 和 RTB、 交 换 机 L2SW 和 L3SW,ICMP 设备 4 个 ,分 别 是 
PC 、PC: PC: 和 NMS。 在 图 7-11 中 单 击 “ 查 看 报表 ”可 以 查看 在 自动 发 现 过 程 中 出 现 的 
问题 ,并 可 将 报表 导出 为 RPT、PDF、WORD 或 EXCEL 格式 。 

在 “资源 ”标签 下 单 击 “ 网 络 拓扑 视图 ”进入 “拓扑 ”页 面 ,在 “拓扑 ”页 面 下 双击 “我 的 
网 络 拓 扑 ”, 可 以 查看 iMC 发 现 的 网 络 拓扑 ,如 图 7-12 所 示 。 
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OO RS katins , 9: SNMP 设 各 4 ，ICMNP 设 备 4 个 。 亲 0 人 设备 。 


运行 自动 发 现 


贺 查 看 报表 网 按 入 设备 与 核心 设备 且 置 
时 间 新 发 现 的 设备 


a 人 和， 下 中 SNMP 设备 4 个 ，ICMP 设 各 4 个 ,新 08 个 设 


2012-05-07 19:38:25 ”PC1(192 168.1.4) 增加 设备 “PC1(192.168.1.4) 成功。 
2012-05-07 19.38:19 。 L2SW(192.168.1.2) /增加 设备 “L2SW(192.168.12] 成 功 。 
2012-05-07 19:37:57 ”PC2(192 168.2.2) 增加 设备 “PC2(192 168.2.2) 成 功 。 
2012-05-07 19:37:57 ”PC3(192 168.2.3) 增加 设备 “PC3(192 168 2 3) 成功。 
2012-05-07 19:37:42 。 NMS(192.168.1.3) 洲 增 加 设备 “NMS(192.168.1.3) 成 功 。 
2012-05-07 19:37:38 。 L3SW(192.168.2.1) 增加 设备 “L3SW(192.168.2.1) 成 功 。 
2012-05-07 19:37:34 。 RTB(192 168.3.2) /增加 设备 “RTB(192 168.3.2) 成功。 
2012-05-07 19:37:30 RTA(192.168.3.1) < 增加 设备 “RTA(192 168.3.1) 成 功 。 
2012-05-07 19:36.57 。 自动 发 现 开始 。 洲 自动 发 现 开始 。 


7-11 自动 发 现 结果 


/人 13C 智能 管理 中 心 - Windows Internet Explorer 


名 数据 中 心 拓扑 


全 | 天 | 本 | 加 | 加 | 国 IIETI 了 37 
图 7-12 iMC 网 络 拓扑 图 


在 有 些 时 候 ,iMC 发 现 的 网 络 拓扑 可 能 不 完整 ,如 缺少 某 些 链 路 ,这 时 候 可 以 对 缺少 
的 链 路 进行 添加 。 添 加 链 路 的 方法 如 下 : 按 住 Ctrl 键 ,选择 需要 添加 链 路 的 两 台 设 备 , 在 
设备 上 右 击 ,并 在 弹出 的 菜单 中 选择 “同步 "同步 成 功 后 ,在 空白 处 右 击 , 并 在 弹出 的 快捷 
菜单 中 选择 "重新 加 载 ”, 则 iMC 会 自动 添加 被 选中 的 两 台 设 备 之 间 的 链 路 。 

在 网 络 拓扑 图 中 ,用 鼠标 单 击 任何 一 台 网 络 设备 或 者 链 路 ,就 会 显示 该 设备 或 链 路 的 
基本 信息 ,如 果 双 击 某 一 条 链 路 或 者 右 击 某 一 条 链 路 并 在 弹出 的 菜单 中 选择 * 链 路 信息 ”， 
则 会 显示 该 链 路 的 基本 信息 和 链 路 两 端 接口 的 详细 信息 。 路 由 器 RTB 和 交换 机 L3SW 


~ 


/258 


/ 
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之 间 的 链 路 的 基本 信息 和 左 接口 的 详细 信息 如 图 7-13 和 图 7-14 所 示 。 


对 
Ec be] ES]| 


左 接口 描 术 thernet170/24 
a 
右 接口 描述 必 thernet0/0 = 


图 7-13 RTB-L3SW 链 路 基本 信息 


x 
基本 信息 左 按 口 | 右 接口 | 


接口 描述 | TYT7TZ] 别名 menedyo24 Interface 
管理 状态 应 接口 类 型 asstcmesd 
操作 状态 | TP 地 址 he 168.3.6 


接口 速度 Ja “物理 地 址 5 6.00. el:bl 
上 次 改 变 状 态 时 间 2012-05-07 17:29:36 最 近 一 次 刷新 时 间 2012-05-07 19:37:38 
查看 古 接 日 | 将 看 按 电 POE 


图 7-14 RTB-L3SW 链 路 左 接口 信息 


在 网 络 拓扑 图 中 , 右 击 某 一 台 设 备 并 在 弹出 的 菜单 中 选择 “打开 设备 面板 ”, 则 可 以 将 
该 设备 的 物理 面板 情况 展示 出 来 。 交 换 机 L3SW 的 面板 情况 如 图 7-15 所 示 。 


H3C S3610 Sories H3C 


图 7-15 交换 机 L3SW 面板 


在 图 7-15 中 ,接口 的 颜色 直观 地 反应 当前 接口 所 处 的 状态 ,如 果 接 口 颜色 为 绿色 , 则 
表示 接口 处 于 UP 状态 ; 如 果 接 口 颜色 为 红色 , 则 表示 接口 处 于 DOWN 状态 ; 如 果 接 口 
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颜色 为 蓝 色 , 则 表示 接口 的 状态 为 Unknown。 在 接口 上 右 击 ,并 在 弹出 的 快捷 菜单 中 选 
择 “ 端 口 管 理 ”, 可 以 对 接口 的 状态 、 速 率 以 及 工作 方式 等 参数 进行 设置 和 管理 。 

单 击 “ 首 页 ”标签 ,返回 首页 ,可 以 看 到 当前 iMC 管理 的 设备 视图 快照 和 设备 状态 快 
照 ,如 图 7-16 所 示 。 


图 语 &7 

路 由 器 [2] 服务 器 [0] 其 地 SNMP 设 备 [0] 
®@ Nd 

交换 机 [2] PCI4] 


多 未 管理 @ 未 知 全 正常 自警 告 日 次 要 全 重要 全 严重 


7-16 设备 快照 


在 “设备 视图 快照 ” 栏 中 单 击 相 应 的 设备 ,进入 “设备 信息 列表 ”界面 ,路 由 器 的 “设备 
言 息 列表 ”界面 如 图 7-17 所 示 。 


ECE TE 
EE 管理 取 涌 芝 理 同步 新 更 多 换 作 |] 
共有 2 条 记录 , 当前 第 1-2, 第 111 页， 每 页 显示 ; 8 15 [50] 100 200| 
CE Cr 
记忆 正常 RTA(192.168.3.1) H3C WMSR2040 。 19216831 接口 列表 
记 自重 要 RTB(192168.3.2) H3CMSR20-40 。 192.16832 接口 列表 ~ 


图 7-17 路 由 器 的 “设备 信息 列表 ” 


从 图 7-17 中 可 以 看 到 ,路 由 器 RTB 的 状态 为 重要 ”, 这 说 明 路 由 器 RTB 存在 告警 
级 别 为 重要 ”的 告警 。 在 图 7-17 中 单 击 路 由 器 RTB 的 设备 标签 ,进入 路 由 器 RTB 的 具 
体 管理 界面 ,在 该 界面 下 可 以 看 到 路 由 器 RTB 的 设备 详细 信息 、 服 务 信息 .告警 信 息 、 人 性 
能 监视 信息 以 及 配置 管理 信息 。 其 中 性 能 监视 信息 如 图 7-18 所 示 。 


性 能 监视 


CPU 景 近 一 小 时 利用 这 平均 值 -实体 -Module Level1] 1000% | 

内 存 最 近 一 小 时 利用 率 平均 值 -实体 -Module Level1] 。 52 091% I 
设备 今天 不 可 达 比例 平均 值 0.000% 

设备 最 近 一 小 时 啊 应 时 间 平 均值 153.667 ms & 


图 7-18 RTB 的 性 能 监视 信息 


在 图 7-18 中 单 击 “ 更 详细 数据 "或 者 在 路 由 器 RTB 的 具体 管理 界面 右 侧 的 “性 能 监 
视 " 栏 中 单 击 “ 查 看 性 能 数据 ”, 可 以 查看 路 由 器 RTB 在 某 一 时 间 段 中 的 内 存 利用 率 、 设 备 
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不 可 达 性 比例 .CPU 利用 率 以 及 设备 响应 时 间 等 性 能 监控 数据 信息 。 其 中 路 由 器 RTB 
最 近 一 小 时 的 设备 响应 时 间 折 线 图 如 图 7-19 所 示 。 
ET (RE | 


400.000 


mm 
日 
8 


0900 09:15 0930 09:45 
RTB(192.168.3.2) 
| 一。 设备 响应 时 间 
[0 


7-19 路 由 器 RTB 最 近 一 小 时 的 设备 响应 时 间 


在 “资源 ”页 签 左下 角 的 “性 能 管理 ? 栏 中 单 击 “TopN” 可 以 查看 某 一 时 间 段 中 网 络 中 
的 各 个 设备 的 内 存 利用 率 、 设 备 不 可 达 性 比例 .CPU 利用 率 以 及 设备 响应 时 间 的 统计 信 
息 排序 列表 。 其 中 最 近 一 小 时 的 内 存 利 用 率 的 TopN 如 图 7-20 所 示 。TopN 是 基于 


RMON 技术 实现 的 。 
下 a 
EEE Sm lg | 
RTB(192.168.3.2) 医 体 -Module Level1] 52.000% mm 
RTA(192.168.3.1) 医 体 -Module Level1] 52.000% ml 
| L3SW(192 168.3.6) [ 医 体 Virual board] 47.000% Www 
L2SW(192.168.1.2) 内存:.65536] 31.330% ml 


图 7-20 最 近 一 小 时 的 内 存 利用 率 TopN 


在 默认 情况 下 ,iMC 只 对 内 存 利 用 率 、 设 备 不 可 达 性 比例 .CPU 利用 率 以 及 设备 响应 
时 间 共 4 项 指标 进行 监视 。 如 果 需 要 增加 性 能 监视 项 ,可 以 在 “资源 "标签 左下 角 的 “性 能 
管理 ” 栏 中 单 击 “ 监 视 设置 "进行 配置 。 

假设 需要 为 路 由 器 RTB 增加 对 “接口 输入 带宽 利用 率 ” 指 标的 监控 。 具 体操 作 过 程 
为 : 在 “监视 设置 "界面 下 单 击 “ 增 加 监视 ”按钮 ,进入 “增加 监视 ”界面 ; 在 “增加 监视 ” 界 
面 下 单 击 “ 选 择 设备 ”, 弹 出 “设备 选择 ”对 话 框 ; 在 “设备 选择 ”对 话 框 中 选择 设备 RTB， 
将 其 置 人 已 选择 设备 中 ,并 单 击 “ 确 定 ” 按 钮 返回 “增加 监视 "界面 ; 在 “增加 监视 "界面 下 
选中 设备 RTB, 并 单 击 “ 选 择 指 标 ” 按 钮 ,弹出 “选择 指标 "对话 框 ; 在 “选择 指标 ”对 话 框 
中 找到 “系统 一 接口 统计 一 接口 输入 带宽 利用 率 "指标 项 并 选中 , 单 击 “ 确 定 ”按钮 返回 “ 增 
加 监视 "界面; 在 “增加 监视 "界面 下 单 击 “ 确 定 ” 完 成 性 能 监视 指标 的 增加 。 增 加 完成 后 
显示 操作 结果 如 图 7-21 所 示 。 
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此 时 ,查看 路 由 器 RTB 的 性 能 数据 可 以 看 到 增加 了 关于 “接口 输入 带宽 利用 率 ” 的 监 
控 数 据 信 息 。 
iMC 还 有 一 部 分 很 重要 的 内 容 就 是 告警 管理 ,在 iMC 页 面 的 下 方 存 在 告警 信息 栏 ， 
如 图 7-22 所 示 。 


[osus jap 
RTB(192.168.32)  H3C MSR20-40 192.168.32 成 功 站 0 多 6 全 0 息 4 EE 


图 7-21 增加 监视 操作 结果 图 7-22 告警 信息 栏 


在 “告警 信息 栏 * 中 ,最 左 侧 的 图 标 为 “分 类 告警 板 ”, 单 击 该 图 标 可 以 打开 “分 类 告警 
板 ” 界 面 ,来 显示 当前 各 种 未 恢复 告警 的 统计 情况 ; 第 二 个 图 标 为 “告警 声音 设置 ”, 单 击 
该 图 标 可 以 设置 各 种 不 同 级 别 告警 的 告警 声音 提示 ; 剩 下 的 五 个 图 标 ,从 左 至 右 依次 为 
紧急 告警 .重要 告警 .次 要 告警 .警告 告警 和 通知 告警 ,图 标 后 面 的 数字 为 该 类 型 告警 中 未 
恢复 的 告警 数量 , 单 击 图 标 后 面 的 数字 即 可 进入 相应 的 告警 列表 界面 。 

用 鼠标 单 击 “ 告 警 "标签 ,进入 “告警 "界面 ; 在 “告警 "界面 中 左 侧 的 “告警 浏览 "中 可 
以 选择 查看 实时 告警 、 当 前 告警 ,全 部 告警 以 及 存在 故障 的 设备 。 其 中 “全 部 告警 "界面 如 
图 7-23 所 示 。 


[3 司 asr[ 
wu [iN 加 su [may 习 
优 复 状 才 ”所 有 状 志 司 。 不 伏 坟 [所 有 HK 志 司 ES) 下 下 另存 力 
E23 确认 3 侣 本 各 上 抢 千 本 国 S 出 为 Excel 
一 | 如 中 | 省 要 来 源 
备 CRTB) 实例 
RTB 2012-05-08 。 2012-05-08 
中 全 有 (21es32 办 WMC 国人 约 和 和 册 六 26mm 六 mn 们 区 和 位 给 和 9 和 Se 
=100， 当 前 值 
为 468. 
性 能 任务 ( 设备 
员 E 时 间 ) 中 设 
音 5RTB) 实 侈 
要 RTB 2012.05.08 
口 次 要 (19216832) 办 MC i 生 未 侈 复 。 全 未 确 人 115119 129 钟 1 只 
>=50, 当前 入 为 
250。 
连接 设备 L2SW 
(19216812 芍 
Lzsw 2012.05.08 。 2012.0508 
口 A 0216012 人 Tp 国 于 ina 六 9 和 人 和。 和 和 只 
状 者 UP。 
连接 设备 L2SW 
(192168.1229 
L2SW je 2012-05-08 2012-05-08 gy 
口 A 1 Tp 国人 
状 老 DOWN。 
性 隐 任务 (设备 
响 时 间 ) 中 设 
LSW 备 CL3SW) 实 2012-05-08 2012-05-08 中 
0 A (192 15836) 这 Wc 国 出 col) ms ee 1046-19 10.46:19 
正 党 。 当 前 是 为 
32. 


图 7-23 全 部 告警 列表 信息 
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在 图 7-23 的 上 半 部 分 可 以 通过 设置 告警 时 间 告警 级 别 以 及 告警 类 型 等 条 件 参 数 来 
选中 告警 记录 并 单 击 “恢复 ?或 “确认 ?按钮 可 以 对 相应 的 告警 记录 
单 击 某 一 条 告警 记录 中 的 “告警 信息 ”字段 可 以 查看 该 条 告警 记录 
的 详细 信息 ,在 图 7-23 中 单 击 第 4 条 告警 记录 的 “告警 信息 ”字段 显示 的 结果 如 图 7-24 


查询 特定 的 告警 信息 。 
信息 进行 恢复 或 确认 。 


所 示 。 


此 警 参 数 


链 路 DOWN 

生 重 要 

13616311520 

2012-05-08 11:37:52 

L2SW(192.168.1.2) 更 多 此 | 
Tap 

接口 蚊 路 状态 省 警 

SSYSTEM 

2012-05-08 11-37:56 

名 未 确认 

和 连接 设备 L2SW(192.168.1.2 的 接口 Ethemet1/0/2 的 状态 DOWN。 


链 路 状态 由 UP 变 为 DOWN , 可 能 的 原因 : 1、 用 户 disable 接 口 ; 2、 连 接 该 接口 的 网 线 被 找 
撞 或 者 损坏 ; 3、 接 口 配置 中 ,接口 的 IP 被 删除 ; 4，、 链 路 中 对 庙 接 口 故障 。 


不 检查 该 接口 的 配置 是 否 为 disable， 如果 是 ， 请 使 能 该 接口 ; 2、 检 查 连 接 该 接口 的 网 线 是 
es 3 检查 设备 配置 ， 确 定 该 接口 是 否 有 正确 的 |P 地 址 ; 4，、 检 查 对 请 接口 是 


?interface Index 4227634 
Interface Description Ethernet1/0/2 
Interface Admin Status 1 

Interface Operate Status 2 


对 于 经 常 出 现 的 一 


7-24 告警 详细 信息 


“编辑 维护 经 验 ” 弹 出 “编辑 维护 经 验 ” 对 话 框 ,如 图 7-25 所 示 。 


图 7-25 编辑 维护 经 验 


些 告警 信息 ,可 以 为 其 编辑 维护 经 验 , 以 备 再 次 遇 到 相同 的 问题 时 
可 以 根据 已 有 的 维护 经 验 对 其 进行 处 理 。 在 “告警 详细 信息 ”界面 的 右 侧 "动作 ” 栏 中 单 击 
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在 图 7-25 所 示 的 对 话 框 中 输入 维护 经 验 , 单 击 “ 确 定 ” 按 钮 ,输入 的 维护 经 验 就 会 显 
示 在 图 7-24 中 的 “维护 经 验 ” 字 段 部 分 。 

在 iMC 上 可 以 通过 打开 被 管理 网 络 设 备 的 Web 界面 或 者 Telnet/SSH 到 网 络 设备 
上 对 设备 进行 配置 管理 。 在 “设备 信息 列表 ?界面 中 单 击 相应 网 络 设备 “操作 ?字段 下 的 
“操作 ”图 标 ,弹出 操作 菜单 ,如 图 7-26 所 示 。 


股 i -全 部 
册 际 管理 取消 管理 局 步 刷新 更 多 换 作 .… 
共有 2 条 记录 ,当前 第 1-2, 第 1/1 页 。 每 页 显示 : 8 15 [50] 100 200| 
EPIC TT CC CT 
rT @rx RTA(192.168.1.1) H3CMSR20-40 。 192168411 [@@ sfE#， 上 
口 园 正 党 RTB(19216832) H3CMSR20-40 。 19216832 窜 Fnog 上 
针 TraceRoule 设 备 
也 打开 Web 了 管 
各 Telneta 备 
池 设备 配置 管理 
国 打开 设备 面板 
学 ssH 


7-26 设备 操作 菜单 


从 图 7-26 中 可 以 看 到 ,可 以 通过 ping 命令 或 者 TraceRoute 命令 测试 到 达 相 关 设 备 
的 联通 性 ; 可 以 通过 Web .Telnet 或 者 SSH 的 方式 对 网 络 设备 进行 配置 管理 。 当 然 ,可 
以 Telnet 或 者 SSH 的 前 提 是 网 络 设备 上 已 经 开启 了 相应 的 服务 并 且 在 iMC 上 配置 了 登 
录 使 用 的 用 户 名 密码 等 参数 。 在 iMC 上 可 以 通过 配置 相关 的 模板 来 设置 登录 设备 信 
息 ,在 iMC 中 单 击 “ 系 统管 理 " 页 签 ,进入 “系统 管理 "界面 ,在 该 界面 下 的 “资源 管理 ” 栏 如 
图 7-27 所 示 。 


器 国 2Y ss 


SNMP 模 板 Telne 需 板 SSH 模 板 设备 厂商 设备 系列 
Ed 
BT 
设备 型 号 
图 7-27 资源 管理 栏 


从 图 7-27 中 可 以 看 到 ,可 以 对 SNMP 模板 、Telnet 模板 以 及 SSH 模板 进行 配置 。 
在 此 以 Telnet 模板 为 例 进行 介绍 。 单 击 “Telnet 模板 ”进入 “Telnet 模板 列表 ”界面 ， 
如 图 7-28 所 示 。 

在 图 7-28 中 可 以 单 击 已 有 模板 中 的 “修改 Telnet 模板 "图标 对 已 有 的 模板 进行 修 
改 ,也 可 以 单 击 “ 增 加 ”按钮 增加 新 的 Telnet 模板 。“ 增 加 Telnet 模板 ”界面 如 图 7-29 
所 示 。 
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共有 1 条 记录 ， 
模板 名 称 认证 稻 式 ETE 二 一 一 一 
default 无 用 户 各 + 无 窗 码 


7-28 ”Telnet 模板 列表 


* 模板 名 称 leo 
* 认证 模式 [EE | 
* 用 户 名 | 
密码 | | 
* 超时 时 间 (1-60 秒 ) 记 | 
[确定 |]| 取消 


图 7-29 增加 Telnet 模板 


增加 了 新 的 Telnet 模板 后 ,在 设备 的 具体 管理 界面 右 侧 的 “配置 " 栏 中 单 击 “ 修 改 
Telnet 参数 ”弹出 “Telnet 参数 设置 "对 话 框 ,如 图 7-30 所 示 。 


/Shttp://localhost:8080/inc/res/paratemplate/telnet/selectContent. jsE Wiader tee 
| http://localhost:8080/imc/ras/paratemplate/telnet/selectContent, jsf 


个 手工 篇 辑 Telne{ 萎 数 (从 已 有 的 Telnet 参 数 模板 中 选取 


CE CT sz 2 as 


default 无 用 户 名 + 无 密码 
用 户 名 + 密码 


7-30 ”Telnet 参数 设置 


在 图 7-30 中 选择 合适 的 Telnet 模板 ,或 者 手工 编辑 Telnet 参数 ,使 其 符合 网 络 设 
备 的 登录 认证 要 求 。 然 后 在 图 7-26 弹出 的 菜单 中 单 击 “Telnet 设备 ”或 者 在 设备 的 具 
体 管理 界面 右 侧 的 “动作 ” 栏 中 单 击 “Telnet” 即 可 Telnet 到 网 络 设备 上 对 其 进行 配置 
管理 。 

本 节 只 是 对 iMC 最 基本 的 拓扑 操作 、 性 能 管理 .告警 管理 以 及 配置 管理 进行 了 简单 
的 介绍 ,实际 上 iMC 的 功能 非常 强大 , 感 兴趣 的 读者 可 以 查阅 ( H3C 智能 管理 中 心 用 户 
手册 ) 以 及 H3C 的 官方 网 站 www. h3c. com. cn 上 的 iMC 视频 资料 。 
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7.4.2 Cisco 设备 的 配置 

在 对 Cisco 设备 的 网 络 管理 配置 中 ,不 再 采用 能 够 提供 五 大 网 络 管理 功能 的 大 型 网 
管 平台 ,而 是 使 用 常见 的 免费 开源 网 管 软 件 , 由 于 这 些 网 管 软件 往往 只 能 提供 某 一 部 分 管 
理 功 能 ,因此 在 此 对 5 大 管理 功能 的 配置 分 别 进行 介绍 。 

1. 网 络 配置 管理 

网 络 配置 管理 包括 对 网 络 中 网 络 设备 、 网 络 服 务 等 网 络 中 各 组 件 配 置信 息 的 管理 , 修 
改 和 状态 监控 。 

(1) 收集 网 络 配 置信 息 

网 络 设备 配置 信息 保存 方式 及 收集 手段 如 表 7-1 所 示 。 


表 7-1 收集 网 络 配 置信 息 


网 络 配置 信息 收集 方式 
配置 文件 使 用 ftp tftp 工具 传送 配置 文件 
网 络 节点 配置 状态 信息 使 用 telnet、ssh 远程 登录 网 络 设备 查看 配置 ,状态 信息 
MIB 使 用 网 络 管理 软件 通过 SNMP 代理 收集 配置 信息 


需要 注意 的 是 ,通过 网 络 访问 网 络 设 备 配 置信 息 时 ,建议 为 网 络 设备 配置 专门 管理 地 
址 。 同 时 ,为 保证 网 络 设备 管理 地 址 所 在 接口 的 稳定 性 ,一 般 在 路 由 器 上 使 用 Loopback 
接口 .在 交换 机 上 使 用 管理 VLAN 虚 接 口 作为 网 络 设 备 管理 地 址 所 在 的 接口 。 

在 Cisco PIX 防火 墙 上 对 使 用 Telnet 远程 访问 防火 墙 进行 严格 限制 。 虽 然 防火 墙 任 
何 接口 都 可 以 配置 用 来 访问 防火 墙 ,但 Cisco PIX 防火 墙 要 求 来 自 外 部 接口 的 Telnet 流 
量 需 要 经 过 IPSec 的 保护 。 

在 Cisco PIX 防火 墙 上 配置 启用 Telnet 的 操作 步骤 如 表 7-2 所 示 。 


表 7-2 Cisco PIX 防火 墙 Telnet 访问 配置 步骤 


序号 操 作 相关 命令 必要 
步骤 1 指定 可 以 访问 防火 墙 的 主机 telnet 是 
步骤 2 指定 telnet 访问 使 用 的 口令 passwd 是 
步骤 3 指定 telnet 会 话 空 闲 时 间 telnet timeout 可 选 
步骤 4 检查 Telnet 配置 show running-config 可 选 
步 耿 5 管理 Telnet 会 话 可 选 


@ 指定 可 以 访问 防火 墙 的 主机 
在 Cisco PIX 防火 墙 上 指定 可 以 访问 防火 墙 主机 的 操作 为 在 全 局 配置 模式 下 输入 ; 


telnet {ifraddress |network-address} subnet-mask inter face 


参数 “ipaddress |network-address” 及 “subnet-mask” 用 于 定义 哪些 主机 或 网 络 可 以 
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使 用 Telnet 方式 访问 防火 墙 。 
注意 : Cisco PIX 防火 墙 最 多 可 支持 16 个 主机 或 网 络 Telnet 访问 。 
参数 “interface” 用 于 定义 Telnet 访问 来 自 于 防火 墙 的 哪个 接口 。 


例如 ,如 下 命令 将 定义 网 络 192. 168. 1. 0 能 够 通过 inside 接口 访问 防火 墙 ; 


pixfirewall(config) # telnet 192.168.1.0 255.255.255.0 inside 


@ 指定 Telnet 访问 使 用 的 口令 

在 Cisco PIX 防火 墙 上 指定 Telnet 访问 使 用 的 口令 的 操作 为 ,在 全 局 配置 模式 下 
输入 : 

passwd password 

@ 指定 Telnet 会 话 空闲 时 间 

当 会 话 空闲 时 断 开 连接 ,可 以 节省 防火 墙 资源 。 在 Cisco PIX 防火 墙 上 指定 Telnet 
会 话 空闲 时 间 的 操作 为 ,在 全 局 配置 模式 下 输入 : 


telnet timeout time 


参数 “time” 单 位 为 s, 默 认 值 为 5。 

@ 管理 Telnet 会 话 连接 

在 Cisco PIX 防火 墙 上 可 以 使 用 “who” 命 令 检查 有 哪些 主机 登录 到 防火 墙 上 ,并 可 以 
用 kill 杀 掉 已 经 连接 到 防火 墙 的 Telnet 连接 。 其 操作 如 下 所 示 : 


窗 


pixfirewall# who 

0: 192.168.1.1 
pixfirewall# kill 0 
pixfirewall# who 


使 用 “who” 命 令 可 以 查看 Telnet 连接 的 连接 ID, 在 杀 掉 Telnet 连接 时 , 需 在 kill 命 
令 后 使 用 连接 ID 指定 杀 掉 那个 连接 。 

(2) 修改 网 络 配置 信息 

修改 网 络 节点 的 配置 信息 ,可 以 通过 两 种 方式 进行 。 一 种 是 通过 远程 访问 , 如 
Telnet ssh; 另 一 种 是 通过 网 络 管理 软件 ,例如 HP OpenView 等 。 

一 般 在 大 型 网 络 中 ,会 选择 使 用 通用 网 络 管理 软件 来 对 网 络 设备 进行 配置 修改 管理 ; 
大 部 分 网 络 会 选择 使 用 网 络 设备 配套 的 网 络 管理 软件 ,对 其 进行 管理 ,如 Cisco 路 由 器 的 
SDM 软件 ,Cisco PIX 防火 墙 的 PDM 软件 ,Cisco 交换 机 的 Lan Manager; 另外 很 多 网 络 
管理 员 仍然 习惯 使 用 Telnet 或 者 ssh 远程 登录 网 络 设备 配置 网 络 设备 。 

(3) 发 现 和 显示 网 络 的 拓扑 结构 

网 络 拓扑 管理 是 将 网 络 设备 间 的 连接 关系 以 图 形 方式 显示 出 来 ,帮助 网 络 管理 员 更 
好 管理 网 络 。 网 络 拓扑 管理 一 般 通 过 网 络 拓扑 管理 工具 实现 。 专 业 的 网 络 管理 软件 中 一 
般 都 会 设置 网 络 拓扑 管理 功能 。 另 外 也 有 一 些 免 费 的 网 络 拓扑 发 现 工具 ,如 可 以 在 局 域 
网 中 使 用 的 LanTopolog ,如 图 7-31 所 示 。 
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口 Stop process A Clear Alarms 
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D Discover the Topology 2 Apply the New Topology View in Default Browser 
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Ready [ Total Number of Switches- 2 


7-31 网络 拓扑 发 现 软件 示例 


2. 网 络 故 障 管理 

网 络 故障 管理 的 工作 流程 如 图 7-32 所 示 。 当 发 现 网 络 出 现 故 障 时 , 需 先 收集 网 络 故 
障 有 关 数 据 ; 然后 根据 这 些 数据 对 网 络 故障 原因 进行 分 析 , 定 位 故障 点 ,故障 层次 ; 接着 
应 根据 故障 分 析 结 果 , 制 定 故障 排除 方案 ,并 对 方案 进行 测试 ; 如 果 方案 经 过 测试 可 行 ， 
则 可 以 按照 方案 实施 排除 故障 ; 如 果实 施 故 障 排除 方案 后 还 不 能 排除 故障 , 则 应 回 退 重 
新 收集 故障 数据 ,进行 故障 排查 过 程 。 

网 络 管理 中 监测 网 络 故障 的 方式 有 两 种 : 异步 告警 、 
主动 轮 询 。 异 步 告警 是 指 网 络 设备 在 发 生 故 障 后 ,主动 向 
网 络 管理 系统 发 出 警报 ; 主动 轮 询 是 指 由 网 络 管理 软件 定 采集 网 络 放 障 数据 
期 查询 网 络 节点 状态 。 Eee 

网 络 故 障 分 析 定位 的 常用 方法 有 : 分 层 法 、 分 段 法 、 蔡 分 析 定位 网 络 故障 原因 
换 法 和 比较 法 。 

(1) 分 层 排查 网 络 故障 

计算 机 网 络 是 基于 OSI 分 层 模型 构建 起 来 的 。 根 据 不 
同 网 络 层 次 的 功能 特点 ,可 以 使 用 相应 层次 的 检测 工具 , 自 
上 而 下 或 自 下 而 上 逐 层 进行 测试 检查 ,以 定位 故障 点 。 

自 上 而 下 的 检查 方法 是 指 先 从 OSI 模型 的 应 用 层 开始 
检查 故障 原因 ,然后 逐 层 向 下 检查 ; 自 下 而 上 的 检查 方法 
是 指 从 物理 层 开 始 , 逐 层 向 上 排查 网 络 故障 。 

一 般 情况 下 ,如果 根据 故障 现象 已 能 够 大 致 判断 出 网 图 7-32 网 络 故障 管理 
络 层 次 范围 时 ,可 采用 自 上 而 下 方法 进行 排查 ; 当 网 络 故 工作 流程 
障 原因 复杂 ,难以 快速 判断 层次 时 ,可 采用 自 下 而 上 的 方法 进行 排查 ,由 于 网 络 上 层 通 信 
需 依赖 下 层 提供 的 服务 ,所 以 使 用 该 方法 能 够 准确 定位 网 络 故障 层次 。 


实施 网 络 故障 排除 方案 
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(2) 分 段 排 查 网 络 故障 

分 段 排查 网 络 故障 是 指 以 网 络 拓扑 为 参考 , 沿 网 络 连接 , 逐 段 检查 网 络 故障 点 的 故障 
排除 方法 。 分 段 排查 时 ,还 可 使 用 * 二 分 法 ”提高 检查 效率 。 

例如 , 当 要 排查 出 向 网 络 发 送 大 量 病毒 包 的 主机 时 ,网 络 管理 员 常 用 的 一 种 方法 是 逐 
个 断 掉 网 络 上 主机 的 网 络 连接 ,直到 发 现 网 络 病毒 包 大 量 减 少时 , 则 可 判定 被 断 掉 网 络 连 
接 的 主机 被 病毒 人 侵 了 。 

(3) 替换 法 排查 网 络 故障 

替换 法 是 指 用 其 他 的 网 络 组 件 替换 当前 网 络 组 件 , 以 检测 当前 网 络 组 件 是 否 存 在 问 
题 的 故障 排查 方法 。 例 如 ,排查 电缆 故障 时 ,可 以 使 用 另外 的 线 缆 替 换 当 前 线 缆 , 以 检查 
原 电缆 是 否 出 现 了 问题 。 

(4) 比较 法 排查 网 络 故 障 

比较 法 是 指 将 故障 点 与 其 他 相似 的 网 络 环 境 进 行 比较 ,以 帮助 分 析 故 障 发 生 原 因 。 
例如 , 当 网 络 中 某 个 节点 无 法 连接 到 网 络 时 ,可 检查 网 络 中 其 他 节点 情况 ,如 果 仅 该 节点 
存在 网 络 联 通 性 问题 , 则 可 以 认为 问题 出 在 该 节点 上 。 


3. 网 络 安全 管理 

网 络 安全 管理 的 工作 流程 如 图 7-33 所 示 。 进 行 网 络 网 络 安全 配置 
安全 管理 的 第 一 步 是 根据 业务 需求 明确 网 络 安全 目标 , 制 
定 网 络 安全 策略 ; 然后 根据 网 络 安全 策略 ,对 网 络 进行 安 “| 网 络 安全 审查 
全 配置 ; 在 实施 了 必要 的 安全 防护 措施 后 ,应 使 用 网 络 安 
全 审查 工具 定期 对 网 络 安全 性 进行 检查 和 测试 ; 如 果 发 现 
网 络 存在 安全 漏洞 , 则 需要 修改 .完善 网 络 安全 配置 ; 另外 ， 


根据 业务 需求 确定 网 络 安全 策略 


网 络 安全 事件 


否 存 在 安全 漏洞? 


络 还 存在 安全 漏洞 时 ,也 要 对 网 络 安全 配置 进行 修改 完善 。 
(1) 网 络 安全 审查 图 7-33 ”网络 安全 管理 工作 流程 


网 络 安全 审查 是 指 根据 网 络 安全 需求 和 网 络 安全 标准 对 网 络 进行 网 络 安全 风险 检 
查 .评估 的 过 程 。 目 前 有 很 多 专门 的 网 络 安全 漏洞 扫描 软件 ,如 Nessus、SAINT 等 ,可 以 
对 各 种 操作 系统 、 网 络 设 备 进 行 安全 漏洞 扫描 。 

Nessus 软件 可 以 扫描 网 络 上 的 主机 、 网 络 设备 ,并 将 其 与 所 存 的 安全 漏洞 定义 库 进 
行 比较 ,检查 其 是 否 在 访问 控制 ,系统 bug 等 方面 存在 安全 漏洞 。 图 7-34 所 示 为 使 用 
Nessus 对 某 系统 进行 扫描 后 的 结果 。 

Nessus 检查 结果 中 会 给 出 安全 漏洞 对 应 的 风险 标识 号 ,检索 CVE、BID、OSVDB 等 
安全 漏洞 网 站 ,可 以 查看 到 该 风险 标识 号 对 应 的 解决 建议 。CVE、BID、OSVDB 等 就 像 字 
典 表 ,会 为 广泛 认同 的 信息 安全 漏洞 .已 经 暴露 出 来 的 弱点 、 已 经 发 现 的 蠕虫 等 给 出 一 个 
公共 的 名 称 。 

(2) 入 侵 检测 和 入 侵 防 御 

人 侵 检测 是 一 种 用 于 发 现 网 络 入侵 行为 的 技术 ,提供 入 侵 检测 功能 的 系统 称 为 人 侵 
检测 系统 (IDS) 。 和 侵 检 测 系统 通过 检查 所 收集 网 络 数据 报 文 是 否 具有 入侵 特征 或 网 络 
是 否 出 现 异常 ,来 判断 是 否 网 络 是 否 受 到 入 侵 。 入 侵 检测 系统 一 般 以 旁 路 方式 接 入 在 高 


Hessus : Untitled 


一 一 一 一 一 
Sean | Report | 
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回回 四 


Report 


[08/03/17 04:14:08 Ph - Defonlt scan policy 国 [Easte] [Eee 


BB 192. 168.0. 126 
general/tcp 
ssh (22/tep) 
nlmown (B05 


filenet-tns (3 
filenet-tms 


| Default passvord "Password for account "root 四 
Syaepsis - 

| 各 administrative account on the remote host uses a weak password. 

| Deseripti 
| 
| 四 to gain further privileges on this systen 

| Selution : 


| Sat a strong password for this account or dissble it 


| Risk factor - 
| 


| critieal / CYSS Base Score : 10.0 
| (CYSS2#AY: N/AC:L/Au: NW/C:C/I:C/A:C) 
| CVE : CYE-1999-0502, CYE-2006-5288 
| BTD : 20490 

| references : OSYDB:30913 


|Nessus ID : 24745 

Default passvora root for account rot | 
| 

| The account ‘root’ has the password root An attacker may use it to 
gain further privileges on this system 


Disconnect 


图 7-34 Nessus 安全 扫描 结果 


安全 等 级 网 络 入 口 处 ,如 图 7-35 所 示 。 


模拟 网 络 


1 
1 
1 
上 
1 
1 
1 
11 
11 
11 
11 
\l 


模拟 WEB/FTP 


\\ 
ss 


入 侵 防御 (IPS) 技 术 是 能 够 发 现 网 络 人 侵 行为 并 进行 自 防 御 的 技术 。 相 对 IDS, 入侵 


1 
1 
1 
1 
| 
核心 交换 机 | 
1 
1 
| 


图 7-35 IDS/IPS 接 入 示例 


防御 在 发 现 入 侵 后 ,会 发 出 警报 丢弃 数据 包 和 重 置 连接 。 


269、 
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(3) 防 病毒 技术 

随 着 网 络 的 普及 和 计算 机 病毒 的 发 展 ,目前 的 计算 机 病毒 侵害 的 对 象 不 再 只 是 单 台 
主机 ,而 是 整个 网 络 。 所 以 网 络 安全 管理 ,尤其 是 局 域 网 安全 管理 中 一 项 重要 的 工作 是 进 
行 病毒 防护 布控 。 

目前 常见 的 网 络 病毒 种 类 如 下 。 

Q@ 系统 病毒 : 感染 特定 的 操作 系统 中 的 文件 ,例如 Windows 系统 中 的 *. exe 和 *， 
dll 文 件 , 并 通过 这 些 文件 进行 传播 。 例 如 ,CIH 病毒 。 防 病毒 软件 通常 使 用 Win32、PE、 
Win95 等 作为 前 级 定义 该 类 病毒 。 

@ 蠕虫 病毒 : 通过 网 络 或 者 系统 漏洞 在 网 络 上 进行 传播 ,阻塞 网 络 。 例 如 ,冲击 波 
病毒 .小 邮差 病毒 。 防 病毒 软件 通常 使 用 Worm 作为 前 组 定义 该 类 病毒 。 

@ 木马 病毒 : 该 类 病毒 的 特点 是 通过 网 络 或 者 系统 漏洞 进入 用 户 系统 并 将 自己 隐 
藏 起 来 ,然后 向 外 界 泄露 用 户 信息 。 防 病毒 软件 通常 使 用 Trojan 作为 前 级 定义 该 类 
病毒 。 

@ 黑客 病毒 : 该 类 病毒 也 是 通过 网 络 或 者 系统 漏洞 进入 用 户 系 统 并 将 自己 隐藏 起 
来 ,但 黑客 病毒 不 仅 泄露 用 户 信息 ,还 使 用 户主 机 可 被 黑客 远程 控制 。 防 病毒 软件 通常 使 
用 Hack 作为 前 缀 定义 该 类 病毒 。 

@ 脚本 病毒 : 通过 网 页 传播 ,以 VBS、JavaScript 等 脚本 语言 编写 。 防 病毒 软件 通常 
使 用 Script 作为 前 缀 定义 该 类 病毒 。 

@ 宏 病 毒 : 是 一 类 特殊 的 脚本 病毒 。 通 过 微软 Office 处 理 的 文件 进行 传播 。 防 病 
毒 软件 通常 使 用 Macro 作为 前 级 定义 该 类 病毒 。 

@ 后 门 病毒 : 与 木马 病毒 相似 ,通过 网 络 传 播 , 一 旦 侵入 用 户 系 统 , 则 在 系统 上 打开 
系统 后 门 ( 某 些 监 听 端 口 )。 防 病毒 软件 通常 使 用 Backdoor 作为 前 级 定义 该 类 病毒 。 

目前 主要 的 防 病毒 技术 如 下 : 

Q@ 基因 码 检测 技术 : 基因 码 检 测 也 被 称 为 特征 码 检测 。 目 前 几乎 所 有 防 病毒 软件 
主要 使 用 的 还 是 此 种 技术 。 其 原理 是 利用 病毒 数据 库 里 的 病毒 特征 数据 ,与 被 扫描 文件 
进行 对 比 ,从 而 找 出 被 病毒 感染 的 文件 。 但 使 用 这 类 防 病毒 技术 能 够 有 效 查 杀 病毒 的 基 
础 使 病毒 库 能 够 及 时 得 到 更 新 ,病毒 库 中 能 收录 最 新 的 病毒 特征 数据 。 

@ 虚拟 机 技术 : 虚拟 机 技术 是 指 防 病毒 软件 在 进行 查 杀 病毒 时 ,模拟 出 一 个 小 型 虚 
拟 运 行 环境 ,让 程序 在 该 虚拟 运行 环境 中 试 执行 ,从 而 使 病毒 暴露 其 攻击 特征 。 使 用 此 种 
技术 可 以 发 现 大 部 分 变形 病毒 和 大 量 未 知 病毒 。 

@ 代码 分 析 技 术 : 通过 分 析 指 令 出 现 顺 序 或 特定 代码 组 合 等 病毒 特征 来 判断 文件 
是 否 感 染病 毒 的 技术 。 即 通过 扫描 病毒 特定 的 行为 或 多 种 行为 组 合 来 判断 文件 是 否 感染 
了 病毒 。 

@ 主动 防御 技术 : 主动 防御 技术 是 指 全 程 监视 进程 行为 ,发 现 “ 违 规 ” 行 为 ,就 通知 
用 户 或 直接 终止 进程 的 技术 。 通 过 监控 Windows 系统 的 注册 表 键 值 、 系 统 文件 .网 络 访 
问 等 变动 情况 ,发现 是 否 受 到 病毒 侵害 。 其 缺点 是 需要 用 户 太 多 干预 。 

(4) 记录 安全 日 志 

通过 安全 日 志 , 网 络 管理 员 可 以 获得 网 络 安全 事件 的 许多 信息 ,但 记录 安全 日 志 会 消 
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耗 网 络 设备 的 网 络 资源 ,因此 需 在 网 络 性 能 许可 下 谨慎 配置 。 要 记录 网 络 节点 的 日 志 ,时 
先 安装 配置 Syslog 服务 器 ,然后 在 网 络 节点 上 启用 日 志 记录 功能 。 
9 配置 网 络 设备 记录 日 志 。 在 Cisco 网 络 设备 上 配置 进行 日 志 记录 的 基本 步骤 如 


表 7-3 所 示 , 日 志 级 别 参数 值 如 表 7-4 所 示 。 
表 7-3 启用 网 络 设备 安全 日 志 功能 的 基本 步骤 


序号 操 作 相关 命令 必要 性 
步骤 1 启用 日 志 记录 功能 logging enable 或 logging on 是 
步骤 2 指定 syslog 服务 地 址 或 主机 名 logging host 是 
步骤 3 指定 日 志 级 别 logging trap 是 


表 7-4 日 志 级 别 参数 值 


级 别 值 日 志 级 别 会 义 
0 emergencies 系统 不 可 用 
1 alerts 报警 ,在 端口 上 需要 立即 操作 
和 critical 网 络 设备 上 存在 一 个 关键 状态 
3 errors 网 络 设备 上 存在 一 个 错误 状态 
4 warnings 网 络 设备 上 存在 一 个 警告 状态 
5 notifications 网 络 设备 上 发 生 了 一 个 重要 的 事件 
6 informational 网 络 设备 上 发 生 了 一 个 信息 事件 
学 debugging 来 自 debug 命令 的 输出 


例如 ,要 将 边界 路 由 器 日 志 写 人 到 200. 100. 8. 25 上 的 配置 操作 如 下 


zb-rO(config) # logging on 

zb-rO(config) # logging host 200.100.8.25 

zb-rO(config) # logging trap informational 

@ 安装 配置 日 志 服 务 器 。Kiwi Syslog Daemon 是 一 种 常用 的 Syslog 服务 器 。Kiwi 
Syslog Daemon 安装 完成 后 ,还 需 配 置 服务 监听 的 地 址 和 端口 。 运 行 Kiwi Syslog 
Daemon, 单 击 软件 快捷 菜单 上 的 ;i 洽 图标, 打开 如 图 7-36 所 示 配 置 窗口 ,配置 服务 监听 的 


地 址 和 端口 。 

在 “Bind to address” 处 输入 Syslog 服务 器 使 用 的 地 址 。 

当 服 务 器 在 正确 的 地 址 和 端口 上 开始 监听 日 志 记 录 请 求 时 ,网 络 设备 上 会 出 现 如 下 
提示 信息 ,表示 目前 设备 正在 连接 Syslog 服务 器 ,一 旦 连接 成 功 ,会 在 Syslog 服务 器 主 窗 
口中 能 看 到 网 络 设备 发 来 log 信息 。 


x*Sep 5 19:13:02.423: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 200.100. 
8.25 

started - CLI initiated 

*Sep 5 19:13:02.423: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 200. 100. 
8.25 

started - CLI initiated 


7 个 、 
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西 Kiwi Syslog Daeaon Setup 


日 x 回 折 B@e UDP UDP input options 
MI Display 
团 Logtofle Listen for UDP Syslog messages 


Schedules UDPPortl1 -65535} |514 
目 Fomatting 


Custom file formats Bind to address: 10022 
Custom DB formats Di Stem 


Min message count 
Max message count 


Defaukts/Import/Export 


图 7-36 配置 Syslog 服务 器 监听 地 址 和 端口 


4. 网 络 性 能 管理 

计算 机 网 络 由 网 络 设备 线路、 网 络 服务 等 构成 ,网 络 性 能 管理 需要 对 这 些 网 络 组 件 
的 运行 状态 ,效率 进行 监控 和 调整 ,使 网 络 能 在 满足 通信 需求 的 情况 下 更 高 效 的 工作 。 网 
络 性 能 管理 的 工作 流程 如 图 7-37 所 示 , 其 中 采集 、 分 析 网 络 性 能 数据 也 被 称 为 网 络 性 能 
监控 。 


开始 


制定 性 能 指标 与 国 值 


采集 网 络 性 能 数据 
1 
分 析 检 测 数 据 、 报 告 检测 结果 


网 络 性 能 
调整 与 优化 


观 煌 网 络 性 能 是 次 
满足 指标 要 求 2 


保存 性 能 管理 记录 


图 7-37 网 络 性 能 管理 工作 流程 
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(1) 网 络 性 能 指标 

评价 网 络 性 能 通过 评价 网 络 是 否 满足 某 些 性 能 指标 来 进行 。 常 用 网 络 性 能 指标 包括 
以 下 几 种 。 

Q@ 网 络 总 体 性 能 指标 : 网 络 联通 性 、 网 络 吞 吐 量 、 网 络 资源 利用 率 、 响 应 时 间 等 。 

@ 网 络 节点 性 能 指标 : 吞吐 量 .转发 率 、 丢 包 率 、 节 点 处 理 时 延 等 。 

@ 链 路 性 能 指标 : 带宽 ,信道 利用 率 、 带 宽 利用 率 等 。 

@ 网 络 服务 的 性 能 指标 : 服务 响应 时 间 、 最 大 并 发 连接 数 等 。 

(2) 采集 网 络 性 能 数据 的 方法 

采集 网 络 性 能 数据 可 从 以 下 3 个 方面 进行 。 

@ 利用 驻 留 在 网 络 节点 上 的 网 络 管理 代理 程序 ,采集 网 络 性 能 数据 。 例 如 ,通过 配 
置 网 络 设备 上 的 SNMP 代理 ,可 以 读 取 网 络 设备 上 MIB 中 有 关 网 络 性 能 的 信息 。 

@ 观察 网 络 现 有 流量 。 例 如 ,可 通过 网 络 监听 工具 (Wireshark、Sniffer 等 ) 捕 获 网 络 
上 现 有 数据 包 , 分 析 数 据 报 文 是 否 存在 广播 风暴 、 是 否 有 大 量 重 传 的 数据 包 等 ,从 侧面 了 
解 网 络 当 前 性 能 状况 。 

@ 制造 测试 流量 ,并 观察 网 络 处 理 测 试 流量 的 情况 。 例 如 ,可 通过 观察 到 某 网 络 节 
点 的 ping 包 响 应 返回 时 间 延 迟 ,来 获得 两 个 网 络 节点 间 的 网 络 时 延 信 息 。 

(3) 利用 网 管 代 理 检 测 网 络 性 能 

目前 常用 的 网 络 设备 或 主机 操作 系统 都 支持 SNMP 网 络 管理 功能 。 通 过 配置 网 络 
设备 和 主机 上 的 SNMP 代理 程序 ,使 网 管 工 具 能 够 利用 SNMP 协议 从 网 络 设备 或 主机 
上 直接 采集 网 络 性 能 数据 ,监控 网 络 性 能 。 

在 Cisco IOS 路 由 器 或 交换 机 上 配置 SNMP 代理 涉及 的 命令 如 下 : 

QO@ 定义 SNMP 共同 体 。 


Router(config) # snmp-server community community-name {ro|rw} 
@ 指定 网 管 工 作 站 的 地 址 , 即 Trap 的 目标 主机 地 址 。 


Router(config) # snmp-server host ip-address community-name 


例如 ,如 果 基 于 SNMP 的 网 络 监控 软件 安装 在 主机 192. 168. 0.254 上 ,而 snmp 共同 
体 名 为 test, 则 可 以 在 网 络 设备 上 输入 如 下 命令 创建 相应 SNMP 共同 体 ,并 定义 网 络 设 
备 网 络 管理 代理 所 对 应 的 管理 实体 地 址 : 


C2960-1-2-1(config) # snmp-server community test 
C2960-1-2-1(config) # snmp-server host 192.168.0.254 test 


@ 启动 SNMP 的 Trap 功能 。 
Router(config) # snmp-server enable traps 


在 配置 完成 后 ,可 以 使 用 show snmp 命令 检查 网 络 设备 上 SNMP 代理 的 配置 信息 。 
具体 命令 执行 结果 如 下 : 


C2960-1-2-1# show snmp community 


区 
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Community name: ILMI 
Community Index: cisco0 
Community SecurityName: ILMI 
storage-type: read-only active 


Community name: test 
Community Index: ciscol 
Community SecurityName: test 
storage-type: nonvolatile active 


执行 show snmp host 命令 查看 网 络 设备 上 配置 的 网 络 管理 实体 地 址 信息 ,显示 结果 
如 下 和 
C2960-1-2-1# show snmp host 


Notification host: 192.168.0.254 udp-port: 162 type: trap 
user: test security model: v1 


在 配置 完 SNMP 代理 后 ,还 需要 安装 和 配置 相关 的 网 管 软件 进行 网 络 性 能 管理 。 在 
此 对 PRTG 软件 的 安装 和 配置 进行 介绍 。PRTG 是 一 款 基 于 Windows 平台 的 网 络 性 能 
监控 软件 。 它 能 够 通过 SNMP 协议 与 网 络 节点 上 的 网 络 管理 代理 通信 ,获取 网 络 节点 上 
的 MIB 信息 ,并 通过 图 表 方 式 显示 出 来 。 

从 “www. paessler. com/prtg/download” 可 以 下 载 PRTG 的 免费 试用 版 。 其 安装 非 
常 简 单 , 只 需 双 击 运行 安装 程序 ,然后 配置 几 项 参数 ,逐步 单 击 Next 按钮 即 可 。PRTG 
安装 过 程 中 需要 配置 的 参数 ,如 图 7-38 所 示 。 


i 


PRTG Network Monitor 
Essential Settings for PRTG Network Monitor 


Administrator Account 

Login Name: 

Email Address: «~ thsjzpc@sina.com 

Web Server IPs 

® Localhost only (127.0.0.1 no external access) @® Standard Web Server Port 80 (recommended setting) 


© spedfy Ps 
Dr dh 


©spedfyport |50 的 


图 7-38 PRTG 监控 服务 器 配置 窗口 
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@ PRTG 监测 服务 器 工作 的 IP 地 址 。 由 于 最 新 支持 Web 页 面 显示 功能 的 PRTG， 
需要 在 Windows 系统 上 创建 一 个 Web 服务 器 来 显示 PRTG 获取 的 网 络 性 能 数据 ,所 以 
在 安装 过 程 中 , 需 输入 该 服务 器 工作 的 IP 地 址 。 

@ 网 络 管理 员 邮 件 地 址 。PRTG 支持 多 种 向 网 络 管理 员 报 告 网 络 性 能 信息 的 方式 ， 
如 电子 邮件 等 ,所 以 在 安装 过 程 中 ,还 需 输入 网 络 管理 员 的 电子 邮件 地 址 。 

@ 登录 PRTG 的 账号 。PRTG 内 嵌 一 个 登录 账号 为 “prtgadmin”, 口 令 为 
“prtgadmin”。 也 可 以 在 安装 过 程 中 设置 使 用 其 他 账号 来 登录 PRTG 。 

安装 完成 后 ,需要 对 PRTG 进行 配置 。 首 先 双击 Windows 桌面 上 的 PRTG 图 标 , 然 
后 在 图 7-39 所 示 的 窗口 中 输入 管理 账号 “prtgadmin” 和 口令 登录 PRTG。 


SNem lels[x| 


PAESSLER PRTG Network Monitor 


Welcome to PRTG Network Monitor (HAPPY-PO) 


Login Name 


User nterface Open browser based userinterace 
Download windows GUI 


Performance Tip forlE8 users 
PRTG runs up to 10 times faster with Google Chrome and Mozilla Firefox 


Thank you for using the Freeware Edition of PRTG Network Monitor ~ 


7-39 登录 PRTG 窗口 


登录 PRTG 后 的 主 窗口 如 图 7-40 所 示 。 单 击 窗 口中 的 Add Sensor(s) Manually 
标 ,为 所 要 管理 的 设备 创建 新 的 感应 器 Sensor。 

在 接 下 来 的 图 7-41 所 示 的 PRTG 窗口 中 , 先 单 击 Create a new Device 单 选 按钮 , 然 
后 单 击 Continue 按钮 ,选择 为 被 管 设备 创建 一 个 设备 条 目 。 

由 于 PRTG 使 用 将 被 管 对 象 进行 分 组 管理 ,所 以 还 需 在 图 7-42 所 示 窗 口中 , 单 击 
Create a new Group 单 选 按 钮 ,然后 单 击 Continue 按钮 ,选择 新 建 一 个 组 。 

PRTG 接 下 来 显示 图 7-43 所 示 窗 口 ,为 组 配置 默认 属性 。 例 如 与 管理 代理 程序 通信 
使 用 的 SNMP 共同 体 名 .SNMP 协议 版 本 .通信 端口 等 。 

完成 组 的 创建 操作 后 ,PRTG 会 显示 图 7-44 所 示 组 列表 窗口 ,在 其 中 选择 新 创建 的 
组 , 单 击 该 组 下 面 的 Add Device 按钮 ,将 进入 图 7-45 所 示 创 建新 设备 条 目 窗口 。 
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男 PAESSLER PRTG Network Monitor 
CC 


The user manual and the Poessler 
Support website are ready to help you 


图 7-40 PRTG 主 窗 口 


|@ http//127.0.0.1/addsensorO htm "| Be xjle sng 只 > 
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Help: Adding Sensors 


PT 
Sensorsyou must first ereate a device to hold the new 


Create a new Devce 
Tn i dd 


| commes | (com 


图 7-41 新 建设 备 窗口 


在 图 7-45 所 示 窗 口中 ,必须 配置 的 是 SNMP 通信 属性。 取消 选中 Inherit 
Credentials of SNMP Devices 复 选 框 , 并 在 展开 的 窗口 中 ,输入 与 管理 代理 程序 通信 使 用 
的 正确 的 SNMP 共同 体 名 ,然后 单 击 Continue 按钮 即 可 创建 新 设备 条 目 。 

完成 设备 条 目 创建 后 ,需要 创建 探测 器 Sensor, 才 能 监测 网 络 设备 上 接口 . 链 路 的 性 
能 配置 。 在 图 7-46 所 示 组 列表 窗口 中 ,选择 设备 条 目 , 单 击 其 右 侧 的 Add Sensor 按钮 可 
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图 7-42 新 建 组 窗口 


回 PAESSLER PRTG Network Monitor 


一 一 一 一 一 一 一 一 


eu 
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图 7-43 配置 组 的 SNMP 属性 
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图 7-44 在 组 中 添加 设备 
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图 7-45 创建 新 设备 相关 属性 
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以 为 其 创建 Sensor。 


+ CIT EC FE 
XHO HEE EEW Wa IRD mb 
妆 加 PRTG Nework Monior HAPPY-Pq 1Group -| 


PRTG Network Monitor 
[rome Doees (Semon Mom Mos aeporm oo 


oc prebe tea Probe on 1270— 
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图 7-46 为 新 设备 添加 探测 器 


在 创建 Sensor 窗口 中 , 单 击 展开 SNMP 菜单 ,选择 创建 使 用 SNMP 协议 获取 信息 的 
探测 器 。 注 意 ,由 于 Cisco 网 络 设 备 需要 使 用 其 自己 扩展 的 MIB, 所 以 要 在 SNMP 探测 
器 菜单 中 单 击 SNMP Library 选择 探测 器 使 用 的 MIB, 如 图 7-47 所 示 。PRTG 附带 了 两 
个 Cisco MIB ,一 个 是 Cisco Interface MIB , 另 一 个 是 Cisco Queue MIB。 选 择 Cisco 设备 
默认 支持 的 Cisco Interface MIB, 单 击 Continue to step2 按钮 ,连接 网 络 设备 。 


OO [Omonaoouersormmam ll]x| 


ee 
» Bandwidth Monitoring 。。 bandwrh usage montonng SNM Pocket Snding Netfiow sflow) 
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Sensor ypes for variows sevices used in LANs and WANs (PING, PORT FTP DNS RDP ac 


A complete kat of a sensors 


comnerosep2> | | com | 


图 7-47 定义 探测 方式 
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在 PRTG 使 用 正确 的 SNMP 共同 体 名 连接 到 网 络 设备 后 ,会 显示 图 7-48 所 示 窗 口 ， 
供 管理 员 选 择 要 探测 的 配置 信息 。 该 窗口 中 显示 在 网 络 设备 MIB 中 的 被 管理 对 象 信息 
条 目 ,如 让 Index, 即 网 络 设备 接口 的 索引 号 。 在 图 7-48 所 示 窗 口中 选择 想 要 探测 的 网 络 
设备 信息 条 目 , 单 击 窗口 下 方 的 “Continue” 按 钮 , 则 PRTG 会 根据 所 选 生成 相应 的 探测 
数据 ,显示 在 图 7-49 所 示 窗 口中 。 其 中 一 条 被 监测 设备 的 信息 条 目 被 称 为 一 个 Sensor。 


Ta 


a 


TD 


图 7-49 PRTG 监测 到 的 网 络 设备 信息 
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在 图 7-49 所 示 窗 口中 , 单 击 被 监测 的 探测 器 , 则 会 打开 图 7-50 所 示 窗口 ,显示 该 探 


测 器 监测 到 的 探测 数据 。 通 过 这 些 探测 数据 ,可 以 了 解 网 络 接口 上 的 数据 流量 变化 ,并 根 
据 其 应 有 的 指标 阅 值 ,确定 网 络 是 否 出 现 了 拥塞 、 断 路 等 情况 。 


文件 旧名 名 查看 收 荡 详 内。 工具 (D 帮 芭 (H) 
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Help Sensor Detai 


This the sensor details page. Using the tab control you can view various data of this sensor as wellas edit the sensors settings. 
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图 7-50 ”探测 器 详细 信息 
7.5 模拟 公司 网 络 管理 实现 


受到 网 络 管理 成 本 限制 ,模拟 公司 没有 购买 大 型 网 络 管理 平台 ,而 是 使 用 了 随 网 络 设 
备 附带 的 网 络 管理 工具 和 一 些 网 络 上 免费 的 网 络 管理 软件 对 网 络 进行 管理 。 


(1) 在 配置 管理 方面 ,使 用 Telnet、ssh 来 实现 配置 的 修改 ,使 用 免费 网 络 拓扑 发 现 工 
具 来 对 网 络 拓扑 进行 管理 。 


(2) 使 用 PRTG 监控 ` 记 录 网 络 性 能 变化 ,主要 包括 : 广域网 线路 各 条 线路 的 流量 、 


广域网 线路 的 输入 /输出 情况 ,总 流量 以 及 丢 包 率 、 错 包 率 ; 并 在 网 络 设备 上 配置 QoS 保 
证 网 络 视频 会 议 系 统 的 运行 。 


(3) 在 总 部 边界 防火 墙 上 启用 入 侵 检测 ,防御 来 自 公 网 的 入 侵 。 


(4) 定期 对 公司 网 络 进行 安全 审查 ,扫描 网 络 设备 .节点 等 是 否 存在 安全 风险 。 
(5) 公司 各 机 构 网 络 内 设置 有 日 志 服务 器 ,用 于 记录 网 络 节点 上 的 关键 事件 。 


有 
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7.6 小 结 


随 着 网 络 管理 复杂 度 的 增加 ,使 用 基于 SNMP 协议 的 网 络 管理 平台 对 网 络 设备 进行 
统一 管理 成 为 大 中 型 网 络 管理 的 必然 选择 。 本 章 基 于 模拟 公司 网 络 管理 需求 对 网 络 管理 
的 基本 概念 .SNMP 协议 的 基本 原理 以 及 H3C 设备 和 Cisco 设备 上 网 管 代理 的 配置 进行 
了 介绍 。 最 后 简要 给 出 模拟 公司 网 络 管理 的 实现 方案 。 


7.7 习题 


1. 在 ISO 对 网 络 管理 的 定义 中 ,网 络 管理 的 功能 分 为 哪 几 个 方面 ? 

2. 典型 的 网 络 管理 模型 由 哪 几 部 分 组 成 ? 

3. 在 SNMP 协议 中 ,SNMP 管理 者 通过 什么 途径 从 SNMP 代理 处 获得 被 管 对 象 的 
党 

4. 

5. 


信息 ? 

MIB 的 顶级 对 象 有 几 个 ? 分 别 是 什么 ? 

在 MIB 树 中 ,如 何 来 唯一 地 标识 一 个 被 管 对 象 ? 
7.8 实 训 


7.8.1 H3C 网 络 管理 配置 及 验证 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 4 人 。 
1. 实验 目的 
(1) 掌握 网 络 设备 上 SNMP 的 配置 。 
(2) 掌握 iMC 的 基本 配置 和 使 用 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 4 台 
(2) 安装 有 iMC 的 网 管 工作 站 : 1 台 

(3) H3C 路 由 器 : 1 台 

(4) H3C 三 层 交 换 机 : 1 台 

(5) H3C 二 层 交换 机 : 2 台 

(6) UTP 电缆 : 9 条 

(7) Console 电缆 : 4 条 

保持 路 由 器 和 交换 机 均 为 出 厂 配置 。 

3. 实验 内 容 


(1) 代理 端 配置 SNMP 协议 。 
(2) 配置 并 应 用 iMC 进行 网 络 管理 。 
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4. 实验 指导 
(1) 按照 图 7-51 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 
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图 7-51 H3C 网 络 管理 配置 及 验证 实 训 


(2) 按照 图 7-51 所 示 为 路 由 器 、 交 换 机 和 PC 配置 IP 地 址 ; 将 3 台 交换 机 之 间 相 连 
的 链 路 设置 为 Trunk 链 路 ; 在 3 台 交 换 机 上 分 别 创建 VLAN 10 和 VLAN 20, 在 交换 机 
L3SW 上 为 三 层 虚 接口 VLAN 10 和 VLAN 20 分 别 配置 IP 地 址 10. x. 1. 1/25 和 10. x. 
1. 129/25; 在 交换 机 L2SW 1 和 L2SW 2 上 将 E1/0/1 和 El1/0/2 分 别 划分 到 VLAN 10 
和 VLAN 20 中 ,配置 VLAN 10 为 管理 VLAN ,并 为 其 配置 图 7-31 所 示 的 IP 地 址 。 在 
路 由 器 RTA 和 交换 机 L3SW 上 配置 RIPv2 ,在 路 由 器 RTA 上 配置 默认 路 由 并 将 其 引入 
到 RIPv2 中 ,保障 整个 网 络 的 联通 性 。 参 考 命令 如 下 : 


[RTA]interface Ethernet 0/1 
[RTA-Ethernet0/1]ip address 10.x.2.6 30 
[RTA-Ethernet0/1]quit 

[RTA|interface Ethernet 0/0 
[RTA-Ethernet0/0]ip address 10.0.x.2 24 
[RTA-Ethernet0/0] quit 

[RTA]ip route-static 0.0.0.0 0 10.0.x.1 
[RTA]rip 

[RTA-rip-1] version 2 

[RTA-rip-l1] undo summary 
[RTA-rip-1]network 10.0.0.0 

[RTA-rip-1] default-route originate 
[L3SW]interface Ethernet 1/0/24 
[L3SW-Ethernet1/0/24] port link-mode route 
[L3SW-Ethernet1/0/24]ip address 10.x.2.5 30 
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[L3SW-Ethernetl/0/24] quit 

[L3SW]interface Ethernet 1/0/20 
[L3SW-Ethernetl/0/20] port link-mode route 
[L3SW-Ethernetl/0/20]ip address 10.x.2.1 30 
[L3SW-Ethernetl/0/20] quit 

[L3SW]interface Ethernet 1/0/1 
[L3SW-Ethernet1/0/1]port link-type trunk 
[L3SW-Ethernetl/0/1] port trunk permit vlan all 
[L3SW-Ethernet1/0/1]quit 

[L3SW]interface Ethernet 1/0/2 
[L3SW-Ethernet1/0/2] port link-type trunk 
[L3SW-Ethernetl1/0/2] port trunk permit vlan all 
[L3SW-Ethernetl/0/2] quit 

[L3SW]vlan 10 

[L3SW-vlan10]quit 

[L3SW]vlan 20 

[L3SW-vlan20]quit 

[L3SW]interface Vlan-interface 10 
[L3SW-Vlan-interfacel0]ip address 10.x.1.1 25 
[L3SW-Vlan-interfacel0] quit 

[L3SW]interface Vlan-interface 20 
[L3SW-Vlan-interface20]ip address 10.x.1.129 25 
[L3SW-Vlan-interface20] quit 

[L3SW]rip 

[L3SW-rip-1] version 2 

[L3SW-rip-1]undo summary 
[L3SW-rip-l]network 10.0.0.0 


L2SW1l]interface Ethernet 1/0/24 
L2SW1-Ethernet1/0/24] port link-type trunk 
L2SW1-Ethernetl/0/24] port trunk permit vlan all 
L2SW1-Ethernetl/0/24]quit 

L2SW1]vlan 10 

L2SW1-vlan10] port Ethernet 1/0/1 
L2SW1-vlan10] quit 

L2SW1]vlan 20 

L2SW1-vlan20] port Ethernet 1/0/2 
L2SW1-vlan20] quit 

L2SW1]management-vlan 10 

L2SW1]interface Vlan-interface 10 
L2SW1-Vlan-interfacel0]ip address 10.x.1.2 25 
L2SW1-Vlan-interfacel0] quit 

[L2SW1]ip route-static 0.0.0.0 0 10.x.1.1 


一 一 -交换 机 L2SW2 配置 略 一 一 
配置 完成 后 ,4 台 PC、NMS 和 4 台 网 络 设备 之 间 可 以 互相 ping 通 , 并 且 均 可 以 连接 
外 部 网 络 。 


(3) 在 4 台 网 络 设备 上 进行 SNMP 的 配置 ,使 其 可 以 被 网 管 工作 站 NMS 上 的 iMC 
管理 。 其 中 只 读 团 体 名 为 GZ08 x tK, 读 写 团 体 名 为 RS30#tL。 参 考 命令 如 下 : 
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[RTA]snmp-agent 


[RTA]snmp-agent sys-info version all 
[RTA]snmp-agent community read GZ08 * tK 
[RTA]snmp-agent community write RS30#1tL 
[RTA]snmp-agent trap enable 
[RTA]snmp-agent target-host trap address udp-domain 10. x.2.2 params securityname GZ08 * tK 
一 一 交换 机 L3SW、L2SW1 和 L2SW2 配置 略 


(4) 在 NMS 上 启动 并 登录 iMC, 首 先进 行 自动 发 现 ,自动 发 现 配 置 如 图 7-52 所 示 。 


开始 IP 
结束 IP 增加 
* 已 设置 的 网 段 地 址 黄 除 
Ox2.1-10x2.6 


设备 分 姐 Co 
SNMP & Telnet 参数 设置 
* SNMP 读 团 作 字 |[Szek | 
,shpPsBt 宁 |Fsam | 


* Telnet 认 证 模式 无 用 户 名 + 无 密码 图 
定时 发 现 设置 
* 定时 发 现 方式 从 不 了 | 


7-52 自动 发 现 配置 


注意 : 在 配置 自动 发 现 的 网 段 时 , 切 勿 配置 其 他 台 席 上 的 网 段 ,否则 会 发 现 并 管理 其 
他 台 席 上 的 设备 ,造成 不 同 实验 台 席 之 间 管 理 上 的 混乱 。 

自动 发 现 完成 后 ,在 “资源 ”标签 下 单 击 “网 络 拓扑 视图 进入“ 拓扑” 页面, 在 “拓扑 ” 
页 面 下 双击 “我 的 网 络 拓扑 ”, 查 看 iMC 发 现 的 网 络 拓扑 ; 双击 “IP 拓扑 ”, 查 看 iMC 发 现 
的 IP 拓扑 ,比较 两 个 拓扑 之 间 的 异同 。 在 “我 的 网 络 拓扑 "界面 下 双击 某 一 条 链 路 查看 该 
链 路 的 基本 信息 和 链 路 两 端 接口 的 详细 信息 。 在 “我 的 网 络 拓扑 ”界面 下 右 击 某 一 台 设 备 
并 在 弹出 的 菜单 中 选择 “打开 设备 面板 ”, 查 看 相应 设备 的 物理 运行 情况 。 在 “我 的 网 络 拓 
扑 " 界 面 下 碳 击 某 一 台 设 备 并 在 弹出 的 菜单 中 选择 “同步 ”, 同 时 在 NMS 上 打开 
Wireshark 软件 捕获 SNMP 数据 报 文 ,查看 NMS 与 相应 设备 之 间 的 交互 过 程 。 

在 设备 之 间 人 为 制造 大 的 数据 流量 ,例如 持续 不 断 的 大 长 度 的 ping 报 文 ,然后 在 设 
备 的 具体 管理 界面 查看 性 能 监视 信息 。 在 设备 具体 管理 界面 右 侧 的 “性 能 监视 ” 栏 中 单 击 
“查看 性 能 数据 ”, 查 看 相应 设备 在 某 一 时 间 段 中 的 内 存 利用 率 、 设 备 不 可 达 性 比例 .CPU 
利用 率 以 及 设备 响应 时 间 等 性 能 监控 数据 信息 。 在 “资源 "标签 左下 角 的 “性 能 管理 " 栏 中 
单 击 “TopN” 查 看 某 一 时 间 段 中 的 性 能 统计 信息 排序 列表 。 

将 某 台 PC 与 交换 机 之 间 的 物理 连接 人 为 断 开 , 然 后 再 恢复 连接 ,在 “告警 "界面 查看 
相应 的 告警 信息 ,并 在 NMS 上 打开 Wireshark 软件 捕获 SNMP 数据 报 文 ,查看 从 交换 机 
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发 送 给 NMS 的 Trap 报 文 。 

在 网 络 设备 上 配置 Telnet 服务 ,在 iMC 上 配置 Telnet 模板 ,在 设备 的 具体 管理 界面 
右 侧 的 “配置 ? 栏 中 单 击 “修改 Telnet 参数 ,并 在 弹出 “Telnet 参数 设置 ?对 话 框 中 选择 相 
应 的 模板 ,在 设备 的 具体 管理 界面 右 侧 的 “动作 ” 栏 中 单 击 *Telnet” 远 程 登录 到 设备 上 进 
行 配置 和 管理 。 

5. 实验 报告 


RTA 

SNMP 的 | L3SW 

配置 L2SW1 

L2SW2 

自动 发 现 网 段 
设置 


RTA-L3SW 链 | 连接 类 型 | 左 节点 | 左 接口 描述 | 右 节点 右 接口 描述 
路 信息 
网 告 拓 外 操作 L2SW1 面 板 | 处 于 UP 状态 的 端口 | 处 于 DOWN 状态 的 端口 
iMC 情况 
内 存 利 用 率 
TopN 排序 


告警 名 称 告警 级 别 


告警 管理 断 开 连 接 
恢复 连接 


7.8.2 Cisco 网 络 管理 配置 及 验证 实 训 
实验 学 时 : 2 学 时 。 
每 组 实验 学 生 人 数 : 4 人 。 
1. 实验 目的 
(1) 掌握 网 络 设备 上 SNMP 的 配置 。 
(2) 掌握 故障 排查 定位 方法 。 
(3) 掌握 防火 墙 上 配置 入 侵 检 测 与 防御 的 操作 方法 。 
(4) 掌握 网 络 设备 记录 日 志 的 配置 方法 。 
(5) 掌握 使 用 PRTG 监控 网 络 性 能 的 方法 。 


2. 实验 环境 

(1) 安装 有 TCP/IP 协议 的 Windows 系统 PC: 3 台 
(2) Cisco 路 由 器 : 1 台 

(3) Cisco PIX 防火 墙 : 1 台 

(4) UTP 交叉 电缆 : 4 条 

(5) Console 电缆 : 2 条 

保持 路 由 器 和 防火 墙 均 为 出 厂 配置 。 


3. 实验 内 容 

(1) 记录 日 志 配 置 。 
(2) 入 侵 检测 配置 。 
(3) 性 能 管理 配置 。 
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PC3 


4. 实验 指导 

(1) 按照 图 7-53 所 示 的 网 络 拓扑 结构 搭建 网 络 ,完成 网 络 连接 。 
1 有 着 站， 二 -====--==== 
| | 人 边界 路 由 器 ， 
| 最 E4 E01! “eB 四 | 1 
| 和 入 | 
1 inside outside | > | 
| PC 1 1 分 支 机 构 A-1 | 
1 El| dmz 人 | 
| 0 
| 1 
1 1 
| 模拟 公司 总 部 1 
上 1 
\ PC> 


图 7-53 Cisco 网 络 管理 配置 及 验证 实 训 


该 网 络 中 IP 地 址 分 配 如 表 7-5 所 示 。 其 中 PC, 和 PCs 用 于 分 别 模拟 各 自 网 络 中 的 
日 志 服务 器 以 及 主机 。 在 实 训 开始 前 按 表 7-5 配置 好 网 络 连接 和 路 由 。 


表 7-5 网 络 管理 实 训 地 址 分 配 


接 口 IP 地 址 /网 络 前 级 网 关 

PCi (模拟 内 网 主机 日 志 服务 器 ) 200. 100. 8. 122/30 200. 100. 8. 121/30 
PC; (模拟 FTP 服务 器 ) 200. 100. 8. 28/27 200. 100. 8. 30/27 
PC; (模拟 外 网 主机 日 志 服 务 器 ) 200. 100. 15. 198/30 200. 100. 8. 121/30 
防火 墙 e0 接口 (outside) 200. 100. 8. 126/30 一 

防火 墙 el 接口 (dmz) 200. 100. 8. 30/27 一 

防火 墙 ed 接口 (inside) 200. 100. 8. 121/30 一 

路 由 器 fa0/0 200. 100. 8. 125/30 一 

路 由 器 fa0/1 200. 100. 15. 197/30 一 


(2) 配置 网 络 设备 Telnet 访问 许可 ,并 使 用 Telnet 对 设备 进行 远程 管理 。 在 分 支 机 
构 边 界 路 由 器 和 总 部 防火 墙 上 分 别 配 置 Telnet 访问 许可 ,并 使 用 PC, 、PC; 、PC， 登录 各 


网 络 设备 ,测试 能 否 对 网 络 设备 进行 配置 。 


在 分 支 机 构 边界 路 由 器 的 参考 配置 操作 如 下 : 


al(config) # enable secret 123 
al(config)# line vty 0 4 
al(config-line) # password 123 
al(config-line) # login 


在 总 部 防火 墙 参考 配置 操作 如 下 : 
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zbfw(config) # telnet 200.100.8.122 255.255.255.255 inside 
zbfw(config)# passwd 123 
zbfw(config) # enable password 123 


(3) 为 网 络 设 备 记录 日 志 。 启 用 分 支 机 构 边 界 路 由 器 和 总 部 防火 墙 上 的 日 志 记录 功 


。 分 别 在 PC 、 PC; 上 启动 syslog 服务 器 记录 日 志 信息 。 


在 分 支 机 构 边界 路 由 器 的 参考 配置 操作 如 下 : 


al(config) # logging on 
al(config)# logging host 200.100.15.198 
al(config)# logging trap informational 


在 总 部 防火 墙 上 参考 配置 操作 如 下 : 


zbfw(config) # logging enable 

zbfw(config) # logging host inside 200.100.8.122 

zbfw(config) # logging trap informational 

有 关 日 志 服 务 器 配置 请 参考 7. 4. 2 小 节 。 

(4) 网 络 入侵 检测 配置 。 在 总 部 防火 墙 上 配置 入 侵 检测 与 防御 ,并 分 别 在 PC 、PC;、 


PC 上 运行 攻击 软件 ,攻击 对 方 网 络 中 的 主机 。 检 查 防火 墙 的 入 侵 检 测 与 防御 是 否 起 到 
作用 。 


在 总 部 防火 墙 上 配置 和 人 侵 检测 与 防御 参考 配置 操作 如 下 : 


zbfw (config) # ip audit name attids attack action alarm reset 
zbfw (config) # ip audit name inforids info action alarm 

zbfw (config) # ip audit interface outside attids 

zbfw (config) # ip audit interface dmz inforids 

zbfw (config) # ip audit interface inside inforids 


(5) 使 用 PRTG 监控 网 络 性 能 。 
在 分 支 机 构 边 界 路 由 器 和 总 部 防火 墙 上 配置 SNMP 代理 ,在 PC,、PC; 上 运行 


PRTG 监控 路 由 器 和 防火 墙 的 接口 流量 变化 。 在 PC, 上 使 用 浏览 器 从 PC .PCs 上 使 用 
FTP 下 载 大 文件 ,观察 网 络 设备 接口 流量 信息 的 变化 。 


在 分 支 机 构 边界 路 由 器 的 参考 配置 操作 如 下 ， 


al (config) # snmp-server community al-pub 
al(config) # snmp-server host inside 200.100.15.198 al-pub 
al(config) # snmp-server enable traps 


在 总 部 防火 墙 上 参考 配置 操作 如 下 : 


zbfw (config) # snmp-server community zb-pub 
zbfw (config) # snmp-server host inside 200.100.8.122 zb-pub 
zbfw(config) # snmp-server enable traps 


有 关 PRTG 配置 请 参考 7. 4. 2 小 节 。 
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(6) 故障 排查 定位 。 
通过 网 络 攻击 ,物理 破坏 、 错 误 配 置 等 方式 ,分 别 设置 网 络 服务 .网络 路 由 、 网 络 链 路 、 
网 络 线路 4 种 故障 ,提供 给 学 生 进行 排查 。 


5. 实验 报告 


1. 根据 实验 指导 配置 
能 在 PC; 上 使 用 Telnet 远程 登录 到 防火 墙 吗 ? 能 口 ”不 能 口 ,为 什么 ? 
能 在 PC* 上 使 用 Telnet 远程 登录 到 防火 墙 吗 ? 能 口 ”不 能 口 ,为 什么 ? 


2. 在 配置 完 日 志 记录 后 ,分 别 在 PC .PC .PC:; 上 使 用 网 络 攻击 软件 发 动 攻击 ,记录 在 日 志 服务 器 上 
的 相应 记录 。 

PC 攻击 PC 时 的 日 志 记录 ， 

PC; 攻击 PC; 时 的 日 志 记录 


PC; 攻击 PC 时 的 日 志 记录 ， 


3. 在 配置 完 日 志 记录 和 入侵 检测 后 ,分 别 在 PC .PCs .PC; 上 使 用 网 络 攻击 软件 发 动 攻击 ,记录 在 日 
志 服 务 器 上 的 相应 记录 。 

PC 攻击 PC; 时 的 日 志 记录 : 

PC; 攻击 PC; 时 的 日 志 记录 : 


PC; 攻击 PC 时 的 日 志 记录 : 


4. 在 路 由 器 和 防火 墙 上 配置 SNMP 代理 ,并 在 PC .PC; 上 配置 PRTG, 监 测 并 记录 路 由 器 和 防火 墙 


的 接口 流量 信息 。 

路 由 器 接口 fa0/1 上 的 人 站 流量 : 平均 值 最 大 值 

防火 墙 接口 inside 上 的 入 站 流量 : 平均 值 最 大 值 

防火 墙 接口 outside 上 的 人 站 流量 : 平均 值 最 大 值 

防火 墙 接 口 dmz 上 的 入 站 流量 : 平均 值 最 大 值 

5. 在 PC; 上 运行 网 络 攻 击 软 件 ,并 在 PC .PC:; 上 分 别 从 对 方 服务 器 上 使 用 FTP 服务 下 载 大 文件 , 监 
测 并 记录 路 由 器 和 防火 墙 的 接口 流量 信息 。 

路 由 器 接口 fa0/1 上 的 和 人 站 流量 : 平均 值 最 大 值 

防火 墙 接口 inside 上 的 人 站 流量 : 平均 值 最 大 值 

防火 墙 接口 outside 上 的 人 站 流量 : 平均 值 最 大 值 


防火 墙 接口 dmz 上 的 人 站 流量 : 平均 值 最 大 值 
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附录 A 


习题 参考 答案 
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1. 网 络 安全 从 本 质 上 讲 就 是 网 络 上 的 信息 安全 ,是 指 网 络 系统 的 硬件 ,软件 以 及 系 
统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 的 因素 而 遭 到 破坏 ,更改 .泄露 ,系统 连续 可 靠 
正常 地 和 运行, 网络 服务 不 中 断 。 

网 络 安全 涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 .信息 安 全 技术 、. 应 用 数学 、 
数论 .信息论 等 多 种 学 科 ,因此 称 其 为 一 门 综合 性 的 学 科 。 

2. 扫描 攻击 可 以 分 为 IP 地 址 扫描 和 端口 扫描 两 种 形式 ,其 中 IP 地 址 扫描 的 目的 是 
发 现 网 络 中 存活 的 IP 地 址 ; 端口 扫描 的 目的 是 探测 目标 主机 的 哪些 端口 处 于 激活 状态 、 
主机 提供 了 哪些 服务 .提供 的 服务 中 是 否 含有 某 些 缺陷 等 。 

3. 会 话 劫持 攻击 是 指 在 一 次 正常 的 会 话 过 程 当 中 ,攻击 者 作为 第 三 方 参与 到 其 中 , 它 
可 以 在 正常 数据 包 中 插入 恶意 数据 ,也 可 以 在 双方 的 会 话 当 中 进行 监听 ,甚至 可 以 是 代替 某 
一 方 主机 接管 会 话 。 按 照 攻击 方式 可 以 将 会 话 支持 攻击 分 为 主动 支持 和 被 动 动 持 两 种 。 

4. 拒绝 服务 攻击 是 通过 向 网 络 中 的 网 络 设备 .计算 机 等 发 送 大 量 消耗 .占用 其 资源 
的 流量 ,使 被 攻击 网 络 或 主机 无 法 及 时 接收 并 处 理 外 界 请 求 ,从 而 导致 无 法 提供 正常 网 络 
服务 的 攻击 方式 。 

典型 的 拒绝 服务 攻击 有 SYN 洪水 攻击 .死亡 之 ping 攻击 和 泪 滴 攻击 等 。 

5. 在 分 布 式 拒 绝 服务 攻击 的 体系 结构 中 共有 4 种 不 同 的 角色 ， 

(1) 攻击 者 作为 DDoS 攻击 中 的 主 控 台 ,负责 向 主 控 端 发 送 攻击 命令 。 

(2) 主 控 端 负责 接收 来 自 攻击 者 的 攻击 命令 并 将 其 发 送 到 代理 端 来 控制 代理 端的 攻击 。 

(3) 代理 端 负责 接收 并 运行 主 控 端 发 来 的 攻击 命令 ,对 被 攻击 者 实施 攻击 。 

(4) 被 攻击 者 是 攻击 的 受害 者 ,一般 多 为 一 些 对 外 提供 访问 服务 的 网 站 .邮件 服务 器 
以 及 数据 库 系统 等 。 
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1. 规则 中 的 IP 地 址 为 202. 207. 120.0, 由 于 IP 地 址 中 的 第 23 位 不 需要 进行 匹配 ， 
因此 通配符 掩 码 为 0. 0. 2. 255。 
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2. 因为 不 同 品牌 的 设备 在 对 ACL 默认 规则 的 处 理 上 可 能 不 同 , 而 且 默认 规则 的 动 
作 可 以 通过 命令 来 修改 ,从 而 可 能 造成 同一 品牌 设备 的 默认 规则 也 不 同 。 为 了 保证 ACL 
的 健壮 性 和 可 移植 性 ,一 般 应 将 所 有 的 规则 显 式 地 写 出 ,而 尽量 避免 使 用 ACL 的 默认 
规则 。 

3. ACL 的 应 用 位 置 应 该 在 不 影响 其 他 合法 流量 的 前 提 下 尽 可 能 靠近 被 拒绝 的 源 。 
但 实际 上 ,基本 ACL 应 放 在 离 数据 报 文 的 目的 地 尽 可 能 近 的 地 方 ; 高 级 ACL 应 放 在 离 
数据 报 文 源 地 址 尽 可 能 近 的 地 方 。 

4. 之 所 以 不 需要 指定 对 20 端口 的 访问 允许 ,是 因为 当 FTP 工作 在 被 动 模式 下 ， 
FTP 服务 器 使 用 的 数据 端口 为 大 于 1024 的 随机 端口 而 非 20 端口 ; 而 当 FTP 工作 在 主 
动 模式 下 ,由 于 是 由 FTP 服务 器 主动 发 起 数据 连接 ,因此 返回 的 数据 流量 可 以 使 用 携带 
参数 established 的 规则 匹配 ,而 没有 必要 专门 指定 一 条 对 20 端口 访问 允许 的 规则 。 

5. 不 能 使 用 detect tcp 来 代替 detect ftp, 因 为 FTP 是 一 个 多 通道 的 应 用 层 协 议 ,如 
果 直 接 使 用 TCP 进行 检测 可 能 会 导致 无 法 建立 FTP 的 数据 连接 。 
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1. 内 部 网 络 地 址 转换 共有 5 种 不 同 的 类 型 ,分 别 是 静态 网 络 地 址 转换 ,动态 网 络 地 
址 转换 、 网 络 地 址 端口 转换 、 基 于 接口 的 地 址 转换 和 端口 地 址 重 定向 。 

2 

3.A 

4. 在 H3C 设 备 上 , 当 在 同一 个 接口 上 ACL 和 NAT 共存 时 ,ACL 应 对 内 部 本 地 地 
址 进行 约束 ,这 取决 于 设备 对 NAT 和 ACL 的 处 理 顺序 。 在 H3C 的 设备 上 ,对 出 站 流量 
先 去 匹配 出 站 ACL, 然 后 再 进行 NAT ; 对 入 站 流量 先进 行 NAT ,然后 再 去 匹配 人 站 ACL。 
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1. 按照 加 密 算法 工作 方式 的 不 同 , 可 以 将 加 密 技术 分 成 对 称 加 密 技术 和 非 对 称 加 密 
技术 两 种 ,其 中 典型 的 对 称 加 密 算法 有 DES、3DES 和 AES 算 法 ; 典型 的 非 对 称 加 密 算法 
有 RSA 和 D-H 算法 。 

2. 散 列 算法 具有 一 些 特点 : 

(1) 对 同一 源 数据 反复 进行 散 列 运算 得 出 的 散 列 结果 总 是 相同 ; 

(2) 对 源 数据 的 一 个 细小 的 修改 都 会 导致 产生 完全 不 同 的 散 列 值 ; 

(3) 由 于 在 散 列 的 过 程 中 损失 了 信息 ,因此 散 列 具有 不 可 逆 性 , 即 无 法 通过 生成 的 散 
列 值 计 算出 源 数据 。 

3. ESP 协议 既 可 以 对 数据 进行 加 密 , 也 可 以 对 数据 的 完整 性 进行 验证 ; AH 协议 不 
提供 加 密 功能 ,但 AH 协议 的 数据 完整 性 验证 功能 要 比 ESP 的 强 。 

4. IKE 协商 可 以 分 为 两 个 阶段 ,分 别 是 协商 建立 ISAKMP SA 和 协商 建立 IPSec 
SA ,其 中 第 一 个 阶段 的 协商 有 两 种 工作 模式 ,分 别 是 主 模式 和 野蛮 模式 。 

5. L2TP 隧道 的 建立 包括 NAS 发 起 和 客户 端 发 起 两 种 模式 ,其 中 NAS 发 起 模式 中 
由 LAC 端 发 起 L2TP 隧道 的 连接 ; 客户 端 发 起 模式 中 由 支持 L2TP 协议 的 远程 用 户 发 


« 
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起 L2TP 隧道 的 连接 。 
第 5 章 

1. 按照 实现 方式 的 区 别 ,防火 墙 可 以 被 分 为 3 种 类 型 ,分别 是 基于 服务 器 的 防火 墙 、 
集成 防火 墙 和 基于 设备 的 防火 墙 。 

2. 在 H3C 的 防火 墙 上 ,共有 5 安全 区 域 ,分 别 是 : 内 部 区 域 , 安 全 级 别 为 85; 外 部 区 
域 , 安 全 级 别 为 5; DMZ 区 域 ,安全 级 别 为 50; Management 区 域 ,安全 级 别 为 100; Local 
区 域 ,安全 级 别 为 100。 

3. 在 H3C 的 防火 墙 上 ,默认 高 安全 级 别 的 区 域 能 够 访问 低 安全 级 别 的 区 域 , 低 安全 
级 别 的 区 域 不 能 访问 高 安全 级 别 的 区 域 。 但 所 有 的 区 域 均 可 访问 Local 区 域 , 以 保证 无 
论 主 机 处 于 哪 一 个 区 域 均 可 以 保持 与 防火 墙 本 身 的 联通 性 。 

4. 防火 墙 有 三 种 不 同 的 工作 模式 ,分 别 是 : 透明 模式 ,适用 于 在 已 有 的 网 络 中 增加 
的 防火 墙 设备 ; 路 由 模式 ,适用 于 在 新 建 网 络 中 作为 网 络 接 人 设备 的 防火 墙 ; 混合 模式 ， 
适用 于 网 络 要 求 其 某 些 接口 工作 在 二 层 , 某 些 接口 工作 在 三 层 的 防火 墙 设备 。 

5. 统一 威胁 管理 设备 是 由 硬件 .软件 和 网 络 技术 组 成 的 具有 专门 用 途 的 设备 , 它 主 
要 提供 一 项 或 多 项 安全 功能 ,同时 将 多 种 安全 特性 集成 于 一 个 硬件 设备 里 ,形成 标准 的 统 
一 威胁 管理 平台 。UTM 在 提供 传统 防火 墙 \VPN 功能 基础 上 ,一 般 还 提供 病毒 防护 、 
URL 过 滤 ,漏洞 攻击 防护 .垃圾 邮件 防护 .P2P/IM 应 用 层 流 量 控 制 和 用 户 行为 审计 等 安 
全 功能 。 由 于 UTM 设备 综合 了 多 项 安全 功能 并 且 易 于 管理 ,目前 正 逐 渐 代替 传统 的 防 
火 墙 成 为 主流 的 信息 安全 产品 。 
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1. AAA 技术 中 的 3 个 A 分别 代表 认证 (Authentication) .授权 (Authorization) 和 计 
费 (Accounting)。 

pl 

3. 受 控 端 口 和 非 受 控 端 口 是 一 个 物理 端口 上 的 两 个 逻辑 端口 。 受 控 端 口 只 有 在 授 
权 状 态 下 才 会 处 于 联通 状态 ,用 于 传递 业务 报 文 ; 非 受 控 端 口 始终 处 于 双向 联通 状态 ,用 
于 传递 EAPOL 协议 帧 。 

4. PAE 是 端口 访问 实体 ,其 中 设备 端 PAE 利用 认证 服务 器 对 需要 接 入 局 域 网 的 客 
户 端 进行 认证 ,并 根据 认证 结果 来 控制 受 控 端口 的 状态 为 授权 或 者 非 授 权 ; 客户 端 PAE 
负责 响应 设备 端的 认证 请 求 , 向 设备 端 提交 用 户 的 认证 信息 ,也 可 以 主动 向 设备 端 发 送 认 
证 请 求 和 下 线 请 求 。 

5. EAP 信息 在 RADIUS 报 文中 的 承载 EAP 中 继 和 EAP 终结 两 种 方式 ,其 中 在 
EAP 中 继 方式 中 设备 端 PAE 将 完整 的 EAP 报 文 直接 封装 在 RADIUS 报 文中 传递 给 认 
证 服务 器 ; 在 EAP 终结 方式 中 EAP 协议 报 文 在 设备 端 被 终结 ,设备 端 PAE 将 EAP 报 
文中 的 有 用 参数 信息 放置 在 RADIUS 报 文中 的 PAP 或 CHAP 属性 参数 中 传递 给 认证 
服务 器 。 

6. Intrusion Protection 特性 的 作用 是 在 端口 收 到 源 MAC 地 址 为 非法 MAC 的 数据 
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帧 时 ,对 端口 采取 相应 的 安全 策略 以 确保 端口 的 安全 性 。 

7. 端口 绑 定 的 目的 是 使 交换 机 只 对 从 相应 端口 收 到 的 指定 IP 地 址 和 指定 MAC 地 
址 的 数据 报 文 进 行 转发 ,从 而 实现 对 端口 转发 的 报 文 进行 过 滤 控 制 , 增 强 端口 的 安全 性 ， 
实现 IPSG 的 功能 。 

8. 在 DHCP Snooping 中 ,系统 通过 监听 DHCP-REQUEST 报 文 和 从 信任 端口 上 收 
到 的 DHCP-ACK 报 文 ,来 获取 相应 端口 上 连接 的 客户 端的 MAC 地 址 和 IP 地址 信息 , 实 
现 动态 绑 定 。 

9. 在 EAD 中 ,联动 设备 一 般 是 交换 机 、 路 由 器 、VPN 网 关 或 无 线 设 备 等 网 络 设备 。 
作为 网 络 中 安全 策略 的 实施 点 ,联动 设备 起 到 强制 用 户 准 入 认证 ,隔离 不 合格 终端 和 为 合 
法 用 户 提 供 网 络 服 务 的 作用 。 


第 7 章 

1. 在 ISO 对 网 络 管理 的 定义 中 ,网 络 管理 的 功能 分 为 故障 管理 .配置 管理 . 计 费 管 
理 , 性 能 管理 和 安全 管理 5 个 方面 。 

2. 典型 的 网 络 管理 模型 由 4 部 分 组 成 ,分 别 是 : 网 络 管理 实体 、 网 络 管理 代理 、 网 络 
管理 协议 和 管理 信息 库 。 

3. 在 SNMP 协议 中 ,SNMP 管理 者 从 SNMP 代理 获得 被 管 对 象 信息 的 途径 有 两 种 : 
轮 询 和 自 陷 。 轮 询 是 指 SNMP 管理 者 周期 性 地 向 网 络 中 的 各 个 SNMP 代理 发 送 查 询 命 
令 来 获得 被 管 设备 上 各 个 被 管 对 象 的 数据 信息 ; 自 陷 是 指 在 网 络 中 出 现 了 异常 事件 的 时 
候 , 相 应 的 SNMP 代理 主动 向 SNMP 管理 者 发 送 陷阱 报 文 。 

4. MIB 的 顶级 对 象 有 3 个 ,分 别 是 代表 国际 电信 联盟 远程 通信 标准 化 组 织 的 ccitt、 
代表 国际 标准 化 组 织 的 iso 和 这 两 个 组 织 的 联合 体 joint-iso-ccitt。 

5. 在 MIB 树 中 ,被 管 对 象 使 用 从 根 开始 的 一 条 路 径 来 唯一 地 识别 ,这 条 用 数字 趾 来 
表示 的 路 径 称 为 被 管 对 象 的 对 象 标识 符 。 


附录 B 


利用 模拟 器 GNS3 搭建 模拟 实 训 环 境 


由 于 使 用 真实 网 络 设 备 进 行 实 训 成 本 较 高 ,所 以 使 用 网 络 模 拟 器 软件 模拟 网 络 设 备 
进行 网 络 实验 就 成 为 一 种 比较 经 济 的 替代 方案 。 目 前 常见 模拟 Cisco 网 络 设备 的 模拟 器 
软件 有 思科 网 络 学 院 的 PacketTracer、Routersim、Boson 实验 模拟 器 和 免费 的 
Dynamips、Pemu、GNS3 等 。 

GNS3(http://www. gns3. net/) 是 一 款 图 形 化 的 网 络 模拟 器 。 它 集成 了 模拟 路 由 器 
的 Dynamips 和 模拟 Cisco PIX 防火 墙 的 Pemu 模拟 器 软件 ,可 以 使 用 图 形 化 界面 搭建 网 
络 模 拟 环境 。Dynamips、Pemu 的 优点 是 直接 使 用 Cisco 网 络 设备 的 IOS 映像 文件 进行 
模拟 ,操作 更 真实 。 

GNS3 可 以 模拟 路 由 器 、 防 火 墙 ,但 对 PC 和 交换 机 的 模拟 功能 较 差 。 

如 果实 训 环 境 需 要 多 台 PC, 则 可 以 安装 虚拟 PC 模拟 器 来 辅助 GNS3 解决 问题 。 
Virtual PC Simulator 软件 是 一 款 开源 PC 模拟 软件 ,可 以 模拟 9 台 虚 拟 PC, 并 支持 对 这 
些 PC 配置 IP、 运 行 ping traceroute 命令 等 。 通 过 虚拟 PC 模拟 器 Virtual PC Simulator 
与 GNS3 的 cloud 图 标 结合 可 以 实现 在 GNS3 中 模拟 多 台 虚 拟 PC。 

GNS3 中 不 支持 交换 机 的 模拟 ,但 可 以 使 用 带 交换 模块 的 3700、3600 系列 路 由 器 来 
模拟 部 分 交换 机 功能 。 


B.1 安装 并 配置 GNS3 初始 环境 


B.1.1 安装 GNS3 

安装 GNS3 的 操作 非常 简单 ,首先 从 GNS3 官方 网 站 “http://www. gns3. net/ 
download” 下 载 GNS3 模拟 器 软件 ,例如 “GNS3-0. 6. 1-win32-all-in-one. exe”; 然后 打开 
Windows 资源 管理 器 ,找到 下 载 的 GNS3 模拟 器 软件 ,双击 进行 安装 。GNS3 需要 
winpcap 支持 ,所 以 安装 过 程 中 ,会 提问 是 否 安装 该 软件 ,按照 默认 选项 安装 即 可 。 

注意 : GNS3 不 支持 中 文 目 录 名 、 文 件 名 处 理 。 所 以 一 定 将 GNS3 所 有 工作 目录 、 相 
关 文 件 名 设置 为 英文 。 
B.1.2 配置 GNS3 初始 环境 

GNS3 安装 后 需要 重新 启动 操作 系统 ,才能 正常 运行 。 
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1.GNS3 初始 配置 窗口 、 
GNS3 启动 后 会 出 现 图 B-1 所 示 初 始 配 置 提示 窗口 。 该 窗口 提示 要 使 用 GNS3, 需 要 
完成 两 步 操作 : 第 1 步 ,配置 GNS3 运行 参数 ; 第 2 步 ,导入 网 络 设备 IOS。 单 击 回 | 按 


钮 ,进入 GNS3 运行 参数 配置 , 单 击 回 进入 导入 网 络 设备 IOS 操作 。 


[Seupwiard > 二 | 


Step 1 


Configure and testthe path to 
Dynamips. Also check that 
the working directory is valid. 


2 Add one or more uncompressed 
IOS images. 


B-1 GNS3 初始 配置 窗口 


2. 配置 Dynamips、Pemu 等 运行 环境 参数 

如 前 所 述 ,GNS3 结合 了 Dynamips、Pemu 等 软件 功能 ,所 以 在 安装 GNS3 后 需要 配 
置 Dynamips、Pemu 等 运行 环境 参数 。 在 图 A-1 所 示 初 始 配置 窗口 单 击 回 | 按钮 ,或 在 
GNS3 主 窗口 中 选择 “Edit| Preferences” 命 令 ,都 可 以 进行 GNS3 运行 参数 配置 。 

如 图 B-2 所 示 ,GNS3 运行 参数 配置 包括 四 部 分 : 一 般配 置 `.Dynamips 配置 .Pemu 
配置 和 Capture 配置 。 

在 GNS3 一 般配 置 中 ,可 以 选择 软件 “语言 "为 “简体 中 文 ”, 以 便于 使 用 。 

另外 ,需要 选择 连接 到 模拟 网 络 设备 的 终端 程序 。 在 GNS3 首选 项 窗口 , 单 击 窗 
口 左 边 列表 框 中 的 “一 般 ” 选 项 ,在 右边 “终端 命令 "文本 框 中 输入 “C:\Program Files\ 
Putty\putty. exe -telnet %h %p”, 让 GNS3 模拟 器 调用 Putty 软件 访问 虚拟 网 络 设 
备 , 从 而 可 以 在 终端 窗口 中 对 虚拟 网 络 设备 进行 配置 。 当 然 ,Putty 软件 需要 提前 安 
装 好 。 

在 Pemu 配置 中 ,需要 为 Cisco PIX 防火 墙 配置 默认 IOS 映像 文件 .序列 号 和 Key， 
如 图 B-3 所 示 。 

Dynamips 和 Capture 运行 环境 可 以 使 用 默认 配置 ,不 用 更 改 。 


3. 添加 各 网 络 设备 IOS 映像 文件 
在 GNS3 初始 窗口 , 单 击 回 | 按钮 ,或 者 选择 “编辑 一 IOS 和 Hypervisors" 命 令 ,都 可 以 
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r 和 
EE i 
7 一 也 

Dynamips Gaaerd Settines 

Capture 语言 

Pemu FT 

Launch the project dialog at startup 

| 

CProgr en Files\Patty\patty exe -telnet th 知 

回 使 用 系统 默认 的 shal1 执 行 该 命令 
路 径 
工程 目录 : 

CNthvems3wyproj Le 
IDS/PTIOS 目录 
Ci\Users\th\AppDatalLocal \Tenp 


配置 文件 


CVsers/th/ AppDat /Remine/ ts3. ini ETT 


图 B2 GNS3 运行 环境 参数 配置 窗口 


Penuwrapper 

路 径 @wmorrsper sxe 用 于 windows, 其 余 环境 penorrwpper py); 

CAPregran Files\GHS3\penurrapper exe 

工作 目录 

Ci\Wsers\th\AppData\Local\Tenp 

孝 定 ?Pent 管理 器 到 : 
[TTT 
允许 Fe 管理 器 

当 导入 时 使 用 Fan 管理 器 

外 部 pemorrapper 主 机 地 址 ; 


默认 FTX 设 置 
TTX0S: C:\th\ens3\IOS\1ab-ios\pixT22. bin 


Key: OxabO46cef, Ox74ae6689, Oxbf0dl ec9, Ox64614911 


Serial: Ox3011fc5f 


Base flash (optionnal): 


B33 ”Pemu 运行 环境 配置 窗口 
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打开 图 B-4 所 示 “IOS 映像 文件 及 Hypervisors 管理 窗口 ”, 为 实验 模拟 的 网 络 设备 导入 
所 需 的 IOS 映像 文件 。 
re 一 


™s [bi 


Ts 


Jos Model/chassis 
localhosticAth\gns3\OS\c3660-jk303s-mz.123-6abin 3660 


I re: 
黑 认 RAn 
加 设置 为 该 平 各 里 认 I0S 


MR | | MU 


图 B-4 导入 IOS 映像 文件 窗口 


在 图 B-4 中 “平台 ”下 拉 列 表 框 中 ,选择 需要 配置 的 设备 系列 号 。 在 “型 号 "下拉 列表 
框 中 ,选择 需要 配置 的 设备 型 号 。 单 击 *IOS 文件 ”文本 框 右边 的 CJ 按钮 ,找到 并 选中 
相应 的 IOS 映像 文件 , 单 击 “打开 ?按钮 确定 返回 ,为 所 选 设备 配置 IOS 映像 文件 。 

单 击 窗口 左下 方 的 LS ] 按 钮 ,保存 配置 。 此 时 在 窗口 上 方 的 IOS 列表 框 中 会 出 
现 所 配置 的 IOS 映像 文件 。 


B.2 使 用 GNS3 模拟 网 络 设备 进行 实验 


使 用 GNS3 模拟 网 络 设 备 的 操作 非常 简单 。 

在 图 B-5 所 示 主 窗口 中 ,用 鼠标 拖 忠 左边 的 网 络 设备 图 标 到 中 间 窗 口 ,然后 右 击 网 络 
设备 ,在 弹出 菜单 中 选择 了 了 命令 ,启动 设备 。 

单 击 GNS3 窗口 快捷 栏 上 的 按钮 ,在 弹出 窗口 中 选择 连接 线 缆 类 型 ,如 图 B-6 所 
示 。 此 时 凤 | 按 钮 的 图 标 变 为 [加 | ,鼠标 变 为 十 字形 。 用 鼠标 分 别 单 击 要 连接 的 两 个 网 络 
设备 ,可 以 将 网 络 设备 连接 起 来 。 

单 击 图 B-5 所 示 GNS3 主 窗口 中 的 国 图 标 ,打开 网 络 设备 终端 窗口 , 即 可 对 网 络 设 
备 进行 配置 。 
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B-6 连接 线 缆 类 型 菜单 


Dynsgen nanagenent console for Dyasnips (adapted for 
Copyright (c) 2008 GHS3 Project 
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iMC 安装 指导 


H3C 的 智能 管理 中 心 可 以 安装 在 Windows、Linux 或 Solaris 操作 系统 中 运行 ,在 
Windows 环境 下 使 用 SQL Server 数据 库 .在 Linux 或 Solaris 环境 中 使 用 Oracle 数据 库 
来 实现 网 络 管理 数据 的 存储 和 管理 。 在 本 附录 中 以 Windows 环境 下 iMC 的 安装 为 例 进 
行 介绍 。 


C.1 iMC 安装 环境 要 求 


C.1.1 iMC 安装 硬件 环境 要 求 

- 般 网 络 管理 软件 对 计算 机 的 硬件 环境 要 求 都 比较 高 ,因此 基本 上 都 会 采用 专门 的 
服务 器 或 者 高 配置 的 计算 机 来 作为 网 管 工作 站 。iMC 对 计算 机 硬件 的 最 低 配 置 要 求 如 
表 C-l 所 示 。 


表 C-1 iMC 安装 硬件 环境 要 求 


硬件 名 称 配置 要 求 硬件 名 称 配置 要 求 
CPU 主 频 过 3.0GHz 硬盘 二 144GB 
内 存 二 2GB 网 卡 100/1000Mb 自 适应 


C.1.2 iMC 安装 软件 环境 要 求 
iMC 对 计算 机 上 已 安装 软件 的 要 求 如 表 C-2 所 示 。 


表 C-2 iMC 安装 软件 环境 要 求 


软件 名 称 安装 要 求 
Windows Server 2003/2008 或 Windows XP Professional 
Windows Server 2003 需要 安装 Service Pack 2 补丁 
Microsoft SQL Server 2005/2008 
SQL Server 2005 需要 安装 Service Pack 2 补丁 


操作 系统 


数据 库 
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C.2 iMC 的 安装 过 程 


iMC 包括 智能 管理 平台 和 业务 组 件 两 部 分 ,其 中 智能 管理 平台 为 必 配 组 件 ,包括 了 
资源 管理 ,ACL 管理 ,网 元 管理 ,性 能 管理 以 及 告警 管理 等 公共 组 件 ; 业务 组 件 包括 用 户 
接 入 管理 ,EAD 安全 策略 组 件 以 及 无 线 业务 管理 等 ,业务 组 件 可 以 由 用 户 根据 业务 需求 

智能 管理 平台 是 实现 多 种 业务 的 基础 ,在 安装 时 必须 先 安装 智能 管理 平台 ,然后 才能 
安装 各 个 业务 组 件 。 本 部 分 只 对 智能 管理 平台 的 安装 进行 介绍 。 

首先 ,将 iMC 智能 管理 平台 的 安装 光盘 放 入 光驱 ,进入 光盘 目录 下 的 “windows\ 
install” 目 录 , 运 行 该 目录 下 的 install. bat 文件 ,弹出 如 图 C-1 所 示 的 对 话 框 。 

在 图 C-1 所 示 的 对 话 框 中 选择 “国家 /地 区 ”和 “语言 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,H3C 智 
能 管理 中 心安 装 向 导 开 始 进行 安装 环境 的 检查 工作 ,安装 向 导 会 对 计算 机 的 端口 占用 情 
况 、 物 理 内 存 大 小 以 及 SQL Server 数据 库 的 安装 情况 进行 检查 ,如 果 安 装 环境 不 符合 要 
求 , 则 iMC 将 无 法 安装 。 其 中 检查 数据 库 连 接 部 分 会 弹出 如 图 C-2 所 示 的 对 话 框 。 


选择 国家 /地 区 和 语言 


图 C-1 “选择 国家 /地 区 和 语言 "对 话 框 图 C-2 “检查 数据 库 连 接 ” 对 话 框 


在 图 C-2 中 输入 数据 库 *sa” 用 户 密码 并 单 击 “ 确 定 ” 按 钮 ,开始 检查 数据 库 连 接 。 在 
安装 环境 检查 通过 后 ,进入 “欢迎 使 用 H3C 智能 管理 中 心安 装 向 导 ” 界 面 ,如 图 C-3 所 示 。 


C-3 “欢迎 使 用 H3C 智能 管理 中 心安 装 向 导 ” 界 面 


附录 C iMC 安装 指导 


在 图 C-3 中 单 击 “ 下 一 步 ”按钮 ,进入 “许可 协议 ”界面 ,如 图 C-4 所 示 。 


3C 智能 管理 中 心安 装 向 导 


许可 协议 
您 必须 同意 以 下 许可 协议 ， 才 能 执行 后 续 操 作 。 


软件 许可 协议 


如 果 您 安装 、 复 制 或 以 及 他 方式 使 用 了 本 软件 产品 ， 则 视 为 您 已 同意 下 列 条 款 
， 并 已 和 杭州 华 三 通信 技术 有 限 公司 ( 以 下 简称 “H3C 公 司 ”) 签 定 了 本 《软件 
许可 协议 》。 


1. 软件 产品 ( 以 下 简称 “本 软件 ” 


本 协议 所 称 “ 软 件 产品 ”， 包 括 计算 机 软件 ， 以 及 计算 机 软件 中 所 包含 的 图 片 
照片 图标、 动画、 录音 、 录 像 、 音 乐 、 文 宇 、 代 码 的 全 部 或 一 部 分 ， 还 包括 
与 计算 机 软件 有 关 的 说 明 书 ， 指 导 书 ， 手 册 等 印刷 材料 等 。 


图 C-4 “许可 协议 "界面 


在 图 C-4 中 选择 “我 同意 ” 单 选 按钮 ,然后 单 击 下 一 步 " 按 钮 ,系统 开始 检查 当前 的 组 
件 安装 情况 ,检查 完成 后 进入 “安装 目标 文件 夹 "界面 ,如 图 C-5 所 示 。 


DD 安装 目标 文件 夹 号 


Ry | 请 确认 安装 的 姐 件 信息 及 安装 目标 文件 到 RY | 

台 - 资源 管理 |3. 20-R2606 即将 安装 

台 - AL 管理 |3.20-R2608 | 即将 安装 

台 - 网 元 管理 |3.20-R2606 即 格 安 装 

到 |3. 20-R2606 即将 安装 

台 - 数据 分 析 服务 器 |3. 20-R2606 即将 安装 

台 - 来 宾 接 入 管理 |3. 20-R2606 即将 安装 

台 - 智能 配置 中 心 |3. 20-R2606 即将 安装 

台 - 网 络 资产 管理 |3. 20-R2606 即将 安装 

台 - 省 警 管理 |3.20-R2606 即将 安装 

台 - 性 能 管理 |3.20-R2606 即将 安装 

台 - 报表 管理 |3. 20-R2606 即将 安装 
管理 平台 - 安全 控制 中 心 |3.20-R2606 即 格 安装 


E: \Progr en Filesvigc 


图 C-5 “安装 目标 文件 夹 " 界 面 
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在 图 C-5 中 可 以 选择 iMC 的 安装 路 径 , 默 认 路 径 为 “C:\Program Files\iMC”。 在 安 
装 iMC 的 分 区 下 至 少 应 该 保留 5GB 的 可 用 磁盘 空间 。 选 择 安装 路 径 后 , 单 击 “ 下 一 步 ” 
按钮 进入 “安装 摘要 信息 ”界面 ,在 该 对 话 框 中 将 显示 每 一 个 即将 安装 的 组 件 的 名 称 、 描 
述 , 版 本 号 和 所 需 磁盘 空间 等 ,在 最 后 还 将 显示 iMC 的 安装 位 置 ,安装 所 需 的 全 部 磁盘 空 
间 以 及 安装 iMC 的 分 区 下 当前 可 用 的 磁盘 空间 大 小 等 信息 ,如 图 C-6 所 示 。 


JBC 暂 能 管理 中 心安 装 向导 


安装 纺 要 信息 
请 先 审核 下 列 信息 ， 然 后 点 击 “ 开 始 安 装 ”按钮 执行 安装 换 作 。 


图 C-6 “安装 摘要 信息 ”界面 


在 图 C-6 中 单 击 “ 开 始 安装 ?按钮 ,进入 “正在 执行 安装 操作 ?界面 ,如 图 C-7 所 示 。 


C-7 “正在 执行 安装 操作 ”界面 


附录 C_iMC 安装 指导 
安装 过 程 可 能 要 花费 数 分 钟 的 时 间 , 安 装 完成 后 进入 “安装 完成 "界面 ,如 图 C-8 


所 示 。 


BC 智能 管理 中 心安 装 向 导 
| 


图 C-8 “安装 完成 "界面 


至 此 ,iMC 的 智能 管理 平台 安装 完成 ,如 果 需 要 安装 业务 组 件 , 在 图 C-8 中 选中 “ 继 
续 安装 其 他 组 件 ” 复 选 框 并 单 击 “完成 ”按钮 将 继续 进行 业务 组 件 的 安装 。 


C.3 iMC 的 部 署 过 程 


iMC 的 安装 过 程 实际 上 是 一 个 文件 复制 并 启动 部 署 代理 的 过 程 ,iMC 各 个 组 件 的 功 
能 必须 要 经 过 部 署 才 能 使 用 。 为 方便 用 户 的 部 署 操作 ,iMC 提供 了 批量 部 署 功能 。 在 
图 C-8 的 “安装 完成 ”对 话 框 中 选中 “打开 部 署 监控 代理 ” 复 选 框 并 单 击 “ 完 成 ”按钮 ,系统 
会 自动 启动 智能 部 署 监控 代理 ,并 弹出 “批量 部 署 " 界 面 ,如 图 C-9 所 示 。 


C-9 “批量 部 署 "界面 


A 
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在 图 C-9 中 可 以 选择 需要 部 署 的 组 件 , 单 击 “ 确 定 ” 按 钮 进入 “数据 库 配 置信 息 ” 界 面 ， 
如 图 C-10 所 示 。 


J3C 智能 管理 中 心 部 署 向 导 


数据 库 配置 信息 
请 输入 以 下 数据 库 配置 信息 ， 以 执行 后 续 部 署 操作 。 


图 C-10 “数据 库 配置 信息 ”界面 


在 图 C-10 中 输入 “sa” 用 户 密 码 , 并 可 选择 数据 文件 的 存放 位 置 ,默认 存放 位 置 为 
“C:\Program Files\imcdata”。 单 击 “ 下 一 步 ” 按 钮 进入 “配置 Web 服务 端口 "界面 ,如 图 
C-11 所 示 。 


配置 Web 服务 端口 
9C 智能 管理 中 心 提供 基于 Yeb 的 配置 巷 理 界面 。 
请 输入 Web 服务 使 用 的 端口 号 信息 。 


C-11 “配置 Web 服务 端口 ?界面 


默认 情况 下 ,HTTP 端口 为 8080,HTTPS 端口 为 8443 ,用 户 可 以 根据 需要 将 其 修改 
为 其 他 端口 。 单 击 “ 开 始 部 署 ?按钮 ,系统 开始 执行 部 署 操 作 , 如 图 C-12 所 示 。 

部 署 完成 后 ,弹出 “批量 部 署 操作 成 功 ” 界 面 ,如 图 C-13 所 示 。 

在 图 C-13 中 选中 “立即 启动 iMC 服务 " 复 选 框 并 单 击 “ 确 定 ”按钮 ,系统 会 立即 启动 
iMC 服务 。 在 系统 自动 弹出 的 “智能 部 署 监控 代理 ”对 话 框 中 ,选择 “部 署 ” 标 签 , 可 以 看 
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13C 督 能 管理 中 心 部 署 疝 导 


C-12 “正在 执行 部 署 操作 ”界面 


批量 部 署 操 作成 功 


图 C-13 “批量 部 署 操作 成 功 ”界面 


到 各 个 组 件 的 部 署 信息 ,如 图 C-14 所 示 。 


部 署 监 控 代理 


对 网 络 中 的 路 由 器 、 交 换 机 等 各 . 


提供 对 数据 通信 设备 如 以 太 网 交 ， 
提供 各 类 业务 报表 的 发 布 、 展 示 . 
监控 网 络 中 的 各 种 事件 ， 提 供 安 
对 设备 Syslog 齐 行 收集 、 过 尖 、. 
对 网 络 中 YLAN 资 源 进 行 管理 。 

在 数据 存储 之 间 提 供 数 据 抽 职 、. 


图 C-14 组 件 部 署 信息 
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在 所 有 的 组 件 均 部 署 完成 后 ,选择 “监控 ”标签 ,可 以 看 到 当前 iMC 已 经 启动 ,并 且 可 
以 实时 监控 磁盘 .CPU 和 物理 内 存 的 使 用 情况 ,如 图 C-15 所 示 。 


党 各 能 部 署 监 榨 代理 本 =|Glxl 
| 下 后 ] 进 委 | 部 轨 | 运行 环境 | 


@ B65 i 国 停 止 inC | 
厂 当局 动 ns 时 自动 忆 动 各 服务 


诬 名 全 用 

红 |。 ss) | 已 全 qos) | 空间 0s) | 全 有 率 | 
Cc:\ | 20, 474, 808| 16, 514, 468| 3, 960, 340| 60. 66%| 
np:\ | 10, 032, 560| 1,375, 272| 8, 657, 288| 13.71 色 
IE:\ | 23, 093, 404| 89, 960| 23, 023, 444| 0. 3 


[物理 内 存 使 用 


点 击 “ 停 止 " 按钮 可 停止 所 有 服务 进程 。 


图 C-15 iMC 监控 信息 


此 时 ,在 IE 浏览 器 中 输入 地 址 http://localhost:8080/imc 即 可 进入 iMC 的 登录 
界面 。 
C.4 iMC 的 注册 过 程 

iMC 安装 和 部 署 完成 后 ,需要 进行 注册 方 可 长 期 使 用 ,如 果 不 进行 注册 则 只 能 够 试 


用 45 天 。iMC 的 注册 方法 如 下 。 
在 iMC 的 登录 界面 下 单 击 “ 产 品 注册 ”链接 ,进入 注册 操作 选择 对 话 框 ,如 图 C-16 


所 示 。 
请 选择 您 的 操作 
* 请 输入 超级 管理 员 ( admin ) 的 登录 密码 
* 选择 您 要 执行 的 操作 申请 新 的 License 或 升级 现 有 的 License ”| 
* 国家 邮 区 [中 国 司 


访 步 取消 
图 C-16 注册 操作 选择 对 话 框 


在 图 C-16 中 输入 admin 的 登录 密码 ,并 选择 要 执行 的 操作 为 “申请 新 的 License 或 
升级 现 有 的 License”, 单 击 “ 下 一 步 ” 按 钮 进入 用 户 信 息 输入 对 话 框 ,如 图 C-17 所 示 。 
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请 按 以 下 要 求 输入 您 的 用 户 信息 

[是 终 用 户 的 信息 

* 用 户 姓 名 [vv | 

* 国家 由 区 中 国 

* 省 市 5 | 

* 公 司 或 位 2 称 [ | 
地 址 | | 
篇 | | 


电 3 邮 Ht 直人 | 
联系 电话 | IIe 
『 申 请 人 的 信息 
* 奸 各 | EE | 
* 公 司 或 位 2 称 [ 
* 电 了 Hpftt 直 [ 
* 联系 电话 |  。e 
FLicense Keys 
有 的 Lcenseker [ | 


License Keys 列 表 册 除 


bm 确定 取消 


图 C-17 用 户 信息 输入 对 话 杠 


在 图 C-17 中 输入 最 终 用 户 信息 .申请 人 信息 和 License Keys 数据 ,其 中 License 
Keys 可 以 在 H3C 提供 的 软件 使 用 授权 书 上 找到 。 输 入 完成 后 , 单 击 “ 确 定 ” 按 钮 进入 “用 
户 信息 收 集成 功 ” 对 话 框 ,如 图 C-18 所 示 。 
用 户 信息 收集 成 功 


请 下 载 主机 信息 文件 ， 并 发 往 License 中 心 申 请 License。 
主机 信息 文件 | 下 载 文件 


返回 


C-18 “用 户 信息 收集 成 功 ” 对 话 框 


在 图 C-18 中 单 击 “ 下 载 文件 ”按钮 ,将 主机 信息 文件 下 载 到 本 地 并 将 其 发 送 到 电子 邮 
箱 license@h3c. com 申请 获得 iMC 许可 证 。 主 机 信息 文件 为 密 文 ,如 图 C-19 所 示 。 

在 获取 了 iMC 许可 证 后 ,在 iMC 的 登录 界面 下 单 击 “ 产 品 注册 ”链接 ,进入 “选择 您 
的 操作 选择 ?对 话 框 ,并 选择 要 执行 的 操作 为 “使 用 License 文件 对 产品 进行 注册 ”, 如 
图 C-20 所 示 。 

在 图 C-20 中 单 击 “下 一 步 ” 按 钮 进入 “注册 您 的 产品 ”对 话 框 ,如 图 C-21 所 示 。 

在 图 C-21 中 选择 H3C 下 发 的 许可 证 License 文件 后 单 击 “ 确 定 ” 按 钮 完成 iMC 的 注 
册 操 作 。 

在 注册 完成 后 ,需要 重新 启动 :MC ,注册 信息 方 可 生效 。 


了 


/3 
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文件 四 输 贸 邓 格式 加， 坦 看 四， 帮助 中 
— Systen Infonation File -一 
Copyright (5) 2987-2889 Hangzhou H3C Technologies Co., Ltd. A] 


EGIN BLOCK 一 
zeasnFnannT6Fo6fzzexpmpzz8zcx36KFBTT1c6:VgHchtEdB6utusSsEWu 
TI207m2rLFBXHbaXbyotRxTYDU1ZLd*qhTgBr/8xg/Iea3tR1j7ezTEcBF37Y 
ISm2JBw6*P7uBR*+Ttgud2/NoTRW3gjIhh10dsjzoekyzSpXmyYaxvgkitkEd 
xjiogbu9I5tdBblcB9gy7s7phHKgwxUNR3BdnQWztWHXK1Wh6BLBejIzBk8V 
ohn24cFUAMLGEUSCbF 1E/pbA211PCkgFi¥hR6TIhh10dsjzoekyzSpXnvYYA 
acpernop2u7o1XgjLwqYw2pKwPJ7niR938y2PFQnwU6B/dPDuFnyiGHU52y 
Poh6TLNKlezhhnkRzWINTuyC8AxjsejUOUU+2CEptidH0gUUU3DY19U9JTUX 
tSoctspDakrABnueJN3vRZtdpRK6uPtHhDqkuyLCx6+637qu+ YeQ5au131/i 
MiGHUS2yPOh6TLNK1leZhhpQzeSDBQoxP/oB9i1t9Hx0iFDKUryk* 8/X5u7CB 
IQ1ds8GGInetiESG23yRp+euSHKn6TQKdvuUL 9P2pQZnEONpS/2dCU72srbOl 
jzquNJSPFDqEUNKS2Gbs7qQERXG1CY1L S67k8PyrhjvjYu6UsuBlLC/Exw2iA 
95ouilo3*JWxphVRjjTiwTDpatoip11iSn3aHGOANobsLISSEnpmnI/bY3nmpP 
ImFcrhshqsSsDye58kzQhsKe1sbo*rBK2pzNLKN2enEcqDDFUTHPFsunCLzlpCw 
IhTN7Cx6+zj1hh10dsjzoGh* JpEnBYA3G6DS+h/GSc/GdwG1DXhFyJxSCUFGK 
so3nyxFFNUNEwEUTxzCbJ5slhWUQphce95*2CEptidMon83W6cjRes8pT6t 
YIWwFjEPc87wuQhoFCrRrunxu1uUUHyjdTTLYHswrxncBin1aRciHZdJJRXQUa 
JJEFsqrMPdKBFydMXZCB1zHwHMSIUK7ZBayUpSafrmnBG6D5+h/65c7hLIG+C 
jc7peReLpvw5+mntFjBl8jwr- 

--- --- END BLOCK -- 


图 C-19 主机 信息 文件 内 容 


* 请 输入 超级 管理 员 ( admin ) 的 登录 密码 


* 选择 您 要 执行 的 操作 
* 国家 届 区 


使 用 License 文 件 对 产品 进行 注册 司 
中 国 S| 


声 


图 C-20 


选择 对 iMC 进行 注册 操作 


* License 文 件 


+ 请 您 选择 License 类 型 


注册 为 主机 License a 


| 上 ]| 确定 取 涌 


图 C-21 


“注册 您 的 产品 ”对 话 框 
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